Komoly kiberbiztonsági riadalmat okozott a legújabb nyílt forráskódú kínai AI-modell, a GLM-5.2 váratlanul erős képességszintje.
A pekingi Zhipu AI legfrissebb fejlesztése ugyan az általános logikai feladatokban még elmarad az amerikai piacvezetőktől, a szoftveres sebezhetőségek felkutatásában közvetlen alternatívát állít a legszigorúbban védett nyugati védelmi rendszerekkel szemben. Az iparági elemzők és fejlesztők körében az élvonalbeli DeepSeek korábbi berobbanásához hasonló hullámokat vet a szoftver, amely átírhatja az automatizált védelmi és támadási stratégiák alapjait.
A pekingi kiber-tigris színre lépése
A kínai kormány komoly anyagi támogatását élvező Zhipu AI (nemzetközi piacokon Z.ai néven ismert) nem számít újoncnak, a hazai ökoszisztémában az egyik legígéretesebb mesterségesintelligencia-műhelyként tartják számon. A vállalat idén februárban indította el a GLM-5 sorozatot, amelyet áprilisban követett a sebességre optimalizált 5.1-es verzió. A napokban kiadott GLM-5.2 verzióval azonban szintet léptek: a szoftver magját adó súlyokat korlátozások nélküli, nyílt MIT-licenc alatt tették letölthetővé. Ez gyökeres fordulatot hoz a piacon, ahol az amerikai riválisok – mint az OpenAI vagy az Anthropic – szigorúan zárt kapuk mögött, felhős API-k mögé rejtve tartják a legerősebb kiberbiztonsági modelljeiket.
Egymillió token és autonóm hibavadászat
A GLM-5.2 motorházteteje alatt egy 753 milliárd paraméteres, ritka Mixture-of-Experts (MoE) architektúra dolgozik, amely tokenenként nagyjából 40 milliárd aktív paramétert mozgat meg. A modell igazi ereje a masszív, 1 millió tokenes kontextusablakban rejlik, amellyel képes teljes forráskód-tárolókat (monorepókat) egyszerre értelmezni. A Zhipu mérnökei egy IndexShare nevű eljárással optimalizálták a memóriakezelést, így a gigantikus adatmennyiség ellenére a számítási költségek kezelhetők maradtak. A szoftver nem egyszerű chat-asszisztens: autonóm ágensek futtatására tervezték, amelyek órákon át képesek önállóan tervezni, tesztelni és javítani a kódbázisok hibáit.
Filléres sebezhetőség-kutatás helyi hardveren
A független tesztek megdöbbentő eredményeket hoztak a biztonsági auditok terén. A Semgrep mérései szerint az Insecure Direct Object Reference (IDOR) nevű kritikus hozzáférés-vezérlési hibák észlelésében a kínai modell 39%-os F1-pontszámot ért el. Ezzel maga mögé utasította az exportkorlátozott, kifejezetten kiberbiztonsági feladatokra hangolt amerikai Claude Mythos modellt, illetve a Claude Code környezetet is. A legdurvább tényező a gazdaságosság: míg a zárt amerikai modellekkel egy-egy sebezhetőség lokalizálása nagyjából 1 dollárba kerül, a GLM-5.2 mindezt 0,17 dollárból, azaz a töredékéből végrehajtja. Ráadásul a nyílt forráskód miatt a teljes folyamat helyi, saját hardveren is futtatható.
| Mutató / Specifikáció | Zhipu AI GLM-5.2 Értékek |
|---|---|
| Maximális kontextusablak | 1 000 000 token |
| Egyszeri kimeneti kapacitás | 131 072 token |
| SWE-bench Pro (szoftverfejlesztési teszt) | 62,1% (GPT-5.5: 58,6%) |
| IDOR sebezhetőség-észlelési F1-érték | 39% (Claude Code: ~32-37%) |
| Átlagos költség találatonként | 0,17 USD (szemben az 1,00 USD feletti zárt modellekkel) |
Globális erőviszonyok a kódcsatatéren
A szabadon letölthető kód auditáló rendszerek demokratizálják a szoftvervédelmet, de komoly kockázatot is hordoznak. A biztonsági igazgatók (CISO-k) számára a GLM-5.2 megjelenése egy kétélű fegyver. A kis költségvetésű fejlesztőcsapatok végre hozzáférnek egy olyan szintű automatizált ellenőrhöz, amellyel korábban csak a techóriások rendelkeztek. Ugyanakkor a rosszindulatú szereplők és kiberbűnözők kezébe is egy olyan olcsó, helyben futtatható keresőeszköz kerül, amellyel ipari méretekben, szinte ingyen vadászhatnak a nulladik napi (zero-day) sebezhetőségekre. Az amerikai exportkorlátozások hatékonysága így ismét kérdésessé vált, hiszen a szuperszámítógépes gátak ellenére a szoftveres optimalizáció utat tört magának.
