AISI vergleicht offene und geschlossene Modelle über zwei Verfahren. Das erste sind eng umrissene Cyber-Aufgaben: 70 Einzelaufgaben über vier Schwierigkeitsstufen, die abfragen, ob ein Modell konkrete Angriffs- oder Analyse-Schritte lösen kann. Hier schneidet GLM-5.2 „comparably to the most cyber-capable models released 4 months before it“ ab; das ältere DeepSeek V4-Pro erreicht das Niveau von Anthropics Opus 4.5 (November 2025). Das zweite Verfahren sind „Cyber Ranges“ – simulierte, mehrstufige Netzwerk-Angriffe über bis zu 32 Schritte, die Ausdauer und Planung über einen längeren Handlungsbogen prüfen. Dort reicht GLM-5.2 „as far as Opus 4.5, a model released less than 7 months before it“. Als geschlossene Vergleichsmodelle nennt der Report unter anderem Opus 4.5 und 4.6, GPT-5.3-Codex, GPT-5.5 sowie die Mythos-Preview.
Die zweite Verschiebung ist der Preis. Ein Cyber-Range-Lauf über 100 Millionen Token kostete laut AISI rund 85 US-Dollar bei Opus 4.5 wie 4.6, aber nur geschätzte 46 Dollar bei GLM-5.2 und 1,19 Dollar bei DeepSeek V4-Pro. Die offenen Modelle nähern sich also nicht nur der Fähigkeit an, sie tun es zu einem Bruchteil der Betriebskosten – ein Faktor, der für Verteidiger wie für potenzielle Angreifer gleichermaßen zählt, weil er das Ausführen langer, automatisierter Angriffsketten wirtschaftlich macht.
Zur Einordnung: Über weite Teile des Jahres 2025 lag der gemessene Rückstand offener Modelle bei sechs bis zehn Monaten; aktuell sind es vier bis sieben. Der Trend zeigt eine Verengung, aber der Report stützt sich auf zwei aktuelle offene Modelle und ist damit eine Momentaufnahme, keine Extrapolation. Entscheidend ist die Unterscheidung zwischen Fähigkeit und Ausrichtung: AISI misst, was ein Modell kann, nicht, ob seine Sicherheitsvorkehrungen den Missbrauch verhindern. Die deutsche Rezeption (The Decoder) rahmt den Befund als „billiger und gefährlicher“ – die Gefahren-Zuspitzung ist eine Deutung, die belegte Größe ist der schrumpfende Fähigkeits-Rückstand samt Kostenvorteil.