英國AI安全域性(AISI)首次公開評估了領先開源AI模型與頂級閉源系統在網路攻擊能力上的差距,結果顯示這一差距正在迅速縮小。當前,GLM-5.2DeepSeek V4-Pro等開源模型已達到閉源前沿模型4至7個月前的水平,而2025年初這一差距仍為6至10個月。

AISI通過兩種方法進行測試。在“窄域網路任務”基準測試中,涵蓋70項任務、四個難度等級,包括漏洞研究、逆向工程、網路利用和密碼學。2026年6月釋出的GLM-5.2在任務中匹配了2026年2月釋出的Opus 4.6的表現,落後約4個月;DeepSeek V4-Pro則達到2025年11月釋出的Opus 4.5的水平。在模擬企業網路32步攻擊的“The Last Ones”網路靶場測試中,GLM-5.2表現與Opus 4.5相當,而DeepSeek V4-Pro低於Sonnet 4.5。GPT-5.6-SolClaude Mythos 5在測試中表現最佳,幾乎完成全部模擬。網路靶場測試中開源模型落後約7個月,但AISI認為該結果證據強度較弱,因為測試場景較少,且無法區分模型是缺乏網路能力還是無法維持長序列規劃。

成本差異極為顯著。AISI資料顯示,一次1億token的網路靶場測試,使用Opus 4.5或4.6成本約85美元,GLM-5.2約46美元,而DeepSeek V4-Pro僅需1.19美元。對於雙方都能可靠解決的單個任務,Opus 4.6每任務約15美元,GLM-5.2約6美元,Opus 4.5約12.50美元,DeepSeek V4-Pro僅28美分。這使得利用開源模型發起網路攻擊變得廉價且易於規模化。

AISI發現,開源模型的安全措施基本無效。DeepSeek V4-Pro有時會拒絕逆向工程任務,但只需重試即可繞過限制。監控、分類器和使用者限制等防護手段無法可靠應用於開源模型,因為它們依賴於對模型訪問的控制。AISI將這種風險稱為“持續且不可逆的濫用風險”。不過,無用的安全措施並非開源模型獨有——近期研究顯示,恐怖組織也在利用越獄手段攻擊商業聊天機器人。

AISI認為,開源與閉源模型之間的差距為防禦者提供了一個準備視窗。在此期間,能夠訪問最強閉源系統的網路防禦者可以提前行動,防止同等能力在缺乏有效防護的情況下自由擴散。2026年4月,Mythos PreviewGPT-5.5兩個閉源模型實現了AISI測試以來AI網路能力最大幅度的提升,英國國家網路安全中心隨後發出國際警告,稱網路威脅格局正在快速變化。未來開源模型能否匹配這些最新進展仍不確定。AISI計劃測試Kimi-K3,其權重預計於7月底釋出,當前編碼基準測試表明它可能更接近前沿模型水平。