英国AI安全局(AISI)首次公开评估了领先开源AI模型与顶级闭源系统在网络攻击能力上的差距,结果显示这一差距正在迅速缩小。当前,GLM-5.2和DeepSeek V4-Pro等开源模型已达到闭源前沿模型4至7个月前的水平,而2025年初这一差距仍为6至10个月。
AISI通过两种方法进行测试。在“窄域网络任务”基准测试中,涵盖70项任务、四个难度等级,包括漏洞研究、逆向工程、网络利用和密码学。2026年6月发布的GLM-5.2在任务中匹配了2026年2月发布的Opus 4.6的表现,落后约4个月;DeepSeek V4-Pro则达到2025年11月发布的Opus 4.5的水平。在模拟企业网络32步攻击的“The Last Ones”网络靶场测试中,GLM-5.2表现与Opus 4.5相当,而DeepSeek V4-Pro低于Sonnet 4.5。GPT-5.6-Sol和Claude Mythos 5在测试中表现最佳,几乎完成全部模拟。网络靶场测试中开源模型落后约7个月,但AISI认为该结果证据强度较弱,因为测试场景较少,且无法区分模型是缺乏网络能力还是无法维持长序列规划。
成本差异极为显著。AISI数据显示,一次1亿token的网络靶场测试,使用Opus 4.5或4.6成本约85美元,GLM-5.2约46美元,而DeepSeek V4-Pro仅需1.19美元。对于双方都能可靠解决的单个任务,Opus 4.6每任务约15美元,GLM-5.2约6美元,Opus 4.5约12.50美元,DeepSeek V4-Pro仅28美分。这使得利用开源模型发起网络攻击变得廉价且易于规模化。
AISI发现,开源模型的安全措施基本无效。DeepSeek V4-Pro有时会拒绝逆向工程任务,但只需重试即可绕过限制。监控、分类器和用户限制等防护手段无法可靠应用于开源模型,因为它们依赖于对模型访问的控制。AISI将这种风险称为“持续且不可逆的滥用风险”。不过,无用的安全措施并非开源模型独有——近期研究显示,恐怖组织也在利用越狱手段攻击商业聊天机器人。
AISI认为,开源与闭源模型之间的差距为防御者提供了一个准备窗口。在此期间,能够访问最强闭源系统的网络防御者可以提前行动,防止同等能力在缺乏有效防护的情况下自由扩散。2026年4月,Mythos Preview和GPT-5.5两个闭源模型实现了AISI测试以来AI网络能力最大幅度的提升,英国国家网络安全中心随后发出国际警告,称网络威胁格局正在快速变化。未来开源模型能否匹配这些最新进展仍不确定。AISI计划测试Kimi-K3,其权重预计于7月底发布,当前编码基准测试表明它可能更接近前沿模型水平。