Der Anthropics Opus og OpenAIs GPT-5.5 lenge har vært referansen for KI-drevet sårbarhetsjakt, viser to nye kinesiske modeller at forspranget er borte. Sikkerhetsselskapet Semgrep testet Zhipu AIs åpne GLM 5.2, sluppet 13. juni, og fant at den gjorde det best av alle standardmodeller med en F1-score på 39 prosent, målet på treffsikkerhet mellom falske positive og falske negative. Prisen: 0,17 dollar per funnet sårbarhet. To uker senere slapp 360 Security Technology verktøyet Tulongfeng, som grunnleggeren hevder allerede har funnet over 3 400 sårbarheter, ifølge Reuters.
Kontrasten som bekymrer fagfolk er ikke Kina mot USA, men angriper mot forsvarer. At en åpen-vekt-modell presterer så godt, betyr at kapasiteten nå er en handelsvare hvem som helst kan laste ned og kjøre lokalt.
«Handelsvare-modeller kan nå løpe sirkler rundt forsvaret, så forsvarerne må bli seriøse på å kjenne arkitekturen sin og nådeløst patche i prioritert rekkefølge.» — Chris Inglis, tidligere amerikansk National Cyber Director
Åpne vekter kutter begge veier. For forsvarere med data som ikke kan forlate nettet, er en høytytende lokal modell bedre enn et frontier-API. For angripere gjør de samme vektene det mulig å eksperimentere seg forbi justeringen som ellers blokkerer offensiv bruk. Semgrep og Inglis er samstemte om at modellen nå er den minst viktige delen: støtteprogramvaren rundt, og hvor raskt forsvarere betaler ned sikkerhetsgjelden sin, avgjør mer enn marginale forskjeller mellom toppmodeller.