开源权重模型将网络能力差距缩短到数月
The Decoder··作者 Matthias Bastian
关键信息
AISI 采用了两种方法:包含 70 个任务的“狭窄网络任务”基准,以及包括“最后的幸存者”在内的模拟网络“网络演练”场景,该场景模拟一次 32 步攻击。研究所还发现,开源模型的安全护栏很容易被绕过,而且成本差异巨大,DeepSeek V4-Pro 的某些测试只需几美分,而不是几美元。
资讯摘要
英国人工智能安全研究所(AISI)首次公开评估了领先的开源权重 AI 模型在网络能力方面距离顶级闭源系统还有多远。结论是,这一差距正在迅速缩小:当前开源模型大约只比前沿闭源模型落后四到七个月,而在 2025 年的大部分时间里,这一差距还是六到十个月。AISI 指出,这之所以重要,是因为开源权重模型可以被任何人下载、修改并在没有集中控制的情况下运行,这会带来其所称的“持续且不可逆的滥用风险”。与此同时,这类模型也有明显好处,包括可以私有化部署、自定义、降低成本,以及不受供应商随时改动或关闭的影响。AISI 认为,开源权重发布带来的收益与风险需要被认真权衡。
为了衡量能力,AISI 使用了两种评估方法。第一种是“狭窄网络任务”基准,共包含 70 个任务,覆盖四个难度等级,涉及漏洞研究、逆向工程、网页利用和密码学。根据这一基准,2026 年 6 月发布的 GLM-5.2 与 2026 年 2 月发布的 Opus 4.6 表现相当,而 DeepSeek V4-Pro 则达到了 2025 年 11 月发布的 Opus 4.5 的水平。这意味着在这一指标上,开源模型大约落后相关闭源系统四个月。
第二种方法是“网络演练”,它在模拟网络环境中测试自主执行能力。其中一个场景名为“最后的幸存者”,模拟一次针对企业网络的 32 步攻击,网络包含四个子网和大约 20 台主机,AISI 估计人类专家完成该场景大约需要 20 小时。在这个测试中,GLM-5.2 的表现大致与 Opus 4.5 相当,而 DeepSeek V4-Pro 低于 Sonnet 4.5。GPT-5.6-Sol 的成绩最好,领先于 Claude Mythos 5。
AISI 认为,“网络演练”显示出的差距更大,大约有七个月,但它也承认这一结果的证据力度较弱,因为使用的测试场景更少。研究所还指出,测试无法清楚地区分模型是缺乏网络能力,还是无法在复杂攻击中持续维持长时间规划。此外,AISI 认为这些评估可能略微低估了开源模型的真实上限,因为这些模型并不是专门针对这些基准调优的,而且模拟环境也没有包含现实攻击中常见的主动防御者。
成本差异同样十分显著。AISI 估计,运行一次 1 亿 token 的“网络演练”,使用 Opus 4.5 或 4.6 的成本约为 85 美元,使用 GLM-5.2 约为 46 美元,而使用 DeepSeek V4-Pro 仅为 1.19 美元。对于那些两类模型都能稳定完成的单个任务,Opus 4.6 的成本约为每题 15 美元,GLM-5.2 约为 6 美元,Opus 4.5 约为 12.5 美元,而 DeepSeek V4-Pro 仅为 28 美分。AISI 认为,这使得利用开源模型实施网络攻击的成本更低,也更容易规模化。
研究所还发现,这些开源模型的安全措施大多无效。DeepSeek V4-Pro 有时会拒绝逆向工程任务,但重新尝试一次就足以绕过限制。文章在提到监控和分类器等防护措施后截断,但整体信息很明确:一旦模型权重公开,安全控制就更难被有效执行。

资讯正文
开源权重模型如今只比四个月前的前沿网络安全性能低一点,而成本却只是其一小部分
要点
- 英国 AI 安全研究所(AISI)的一项分析发现,开源 AI 模型在网络安全能力上如今落后闭源系统的时间差为四到七个月,较此前的六到十个月已有缩小。
- 在针对特定网络安全任务和模拟网络的测试中,GLM-5.2 和 DeepSeek V4-Pro 等开源模型与较早的闭源系统表现相当。
- 它们的运行成本要低得多,而且由于没有人控制访问,其安全防护也很容易被绕过。AISI 警告称,这会让网络防御者没有那么多时间去准备应对新型攻击。
英国 AI 安全研究所(AISI)首次公开评估了领先的开源权重 AI 模型在网络安全能力方面与顶级专有系统之间相差多远。
AISI 认为,这一差距正在缩小。当前的开源模型,如 GLM-5.2 和 DeepSeek V4-Pro,已经达到了闭源前沿模型在四到七个月前才达到的水平。2025 年的大部分时间里,这一差距仍有六到十个月。
批评者认为,开源模型存在风险,因为任何人都可以下载、修改并在没有监管的情况下运行其权重。一旦模型发布,用户就可以移除安全护栏,自由分享副本,并将其运行在任何人都无法控制的私有系统上。AISI 将此称为“持续且不可逆的滥用风险”。
但开源权重模型也带来了明显好处。用户可以将其私有化部署,不会有任何数据回传给提供方;可以对其进行定制;可以降低成本;还可以依赖一个提供方无法更改或关闭的基础。AISI 表示,这些相互竞争的担忧需要加以平衡。
不同测试,相同结果
AISI 通过两种不同方法测试了这些模型。名为“Narrow Cyber Tasks”的基准包含 70 项任务,分为四个难度等级,从非技术性工作到专家级挑战不等。它涵盖漏洞研究、逆向工程、Web 利用以及密码学。
于 2026 年 6 月发布的 GLM-5.2 在这些任务上的表现与 2026 年 2 月发布的 Opus 4.6 持平。这意味着它大约落后四个月。DeepSeek V4-Pro 的表现则达到了 2025 年 11 月发布的 Opus 4.5 的水平。
第二种方法名为 Cyber Ranges,用于在模拟网络中测试自主网络安全能力。“The Last Ones”模拟一次针对公司网络的 32 步攻击,网络包含四个子网和大约 20 台主机。AISI 估计,人类专家大约需要 20 小时才能完成该任务。
在这项测试中,GLM-5.2 的表现与 Opus 4.5 大致相当,而 DeepSeek V4-Pro 低于 Sonnet 4.5。GPT-5.6-Sol 取得了最佳结果,领先于 Claude Mythos 5。
Cyber Ranges 中的差距比 Narrow Cyber Tasks 更大,约为七个月。AISI 认为,这一结果作为证据的力度较弱,因为它来自更少的测试场景。这些测试也无法表明,模型失败究竟是因为缺乏网络安全能力,还是因为它无法在一场漫长而复杂的攻击中持续进行规划。
AISI 表示,这些测试可能会略微低估开源模型在最佳状态下的能力,因为它们并没有针对这些评测进行调优。Cyber Ranges 也没有纳入现实世界中的防御措施,比如主动防守者,而这类防御在大多数真实攻击场景中很可能都会存在。
开源模型成本只有一小部分,而且对安全措施几乎毫无反应
除了性能差距不断缩小之外,成本差异也非常显著。AISI 表示,一次 1 亿 token 的 Cyber Range 测试,使用 Opus 4.5 或 4.6 的成本约为 85 美元,使用 GLM-5.2 约为 46 美元,而使用 DeepSeek V4-Pro 仅为 1.19 美元。
对于两种被比较的模型都能稳定完成的单项任务,Opus 4.6 每项任务的成本约为 15 美元,GLM-5.2 约为 6 美元,Opus 4.5 约为 12.50 美元,而 DeepSeek V4-Pro 仅为 28 美分。这使得使用开源模型发起网络攻击变得廉价,而且更容易规模化。
AISI 发现,这些开源模型的安全措施在很大程度上无效。DeepSeek V4-Pro 有时会拒绝逆向工程任务,但只要再试一次,就足以绕过这一限制。诸如监控、分类器和用户限制之类的防护措施,无法可靠地移植到开源模型上,因为它们依赖于对模型访问权限的控制。
不过,无效的安全措施并非开源权重模型所独有。一项最近发表的研究表明,恐怖组织也在越狱商业聊天机器人,以策划袭击。但免费可用的开源模型又增加了另一层风险。
这一差距让防御方拥有更少的准备时间
AISI 认为,开源模型与闭源模型之间的差距,是一个用于准备的窗口期。在这段时间里,能够接触到最强闭源系统的网络防御者,可以在同等能力以缺乏相应防护的形式免费普及之前采取行动。
近期的进展让这一窗口期变得更加紧迫。2026 年 4 月,两个闭源模型 Mythos Preview 和 GPT-5.5 交出了 AISI 开始测试以来 AI 网络能力方面最大的一些提升。英国国家网络安全中心随后发出国际警告,称网络威胁格局正在迅速变化。
未来的开源权重模型是否会追平这些最新进展,目前仍不清楚。AISI 计划测试 Kimi-K3,其权重预计将于 7 月底发布。当前的编码基准显示,它可能会更接近当今的前沿模型,不过其成本会比其他开源模型高得多。
来源与参考
收录于 2026-07-19