Z.ai发布GLM-5.2，网络安全能力比肩Mythos，AI竞赛格局重塑

中国Z.ai发布了GLM-5.2，一款开源权重模型，在网络安全漏洞发现方面与Anthropic的Mythos比肩，绕开了美国政府对其本土前沿AI施加的管控。

"中美AI模型之间的差距已大幅缩小，"网络安全公司7AI首席执行官Lior Div表示。"中国正在确保这一差距随着时间的推移越来越小。"

GLM-5.2拥有7440亿参数，采用混合专家架构，上下文窗口达100万token——足以吞下整个代码仓库。在智能体编码基准测试中，它直接击败了OpenAI的GPT-5.5，并仅以约六分之一的API成本，与Anthropic的Claude Opus 4.8相差仅几个百分点。Semgrep发现，GLM-5.2在一项IDOR检测任务上击败了Claude，每个漏洞发现成本约为17美分。

此次发布颠覆了"最强大的网络AI将仅限于封闭API"的假设。Anthropic的Mythos 5于6月26日恢复向约100家经过审查的美国组织提供服务（此前被禁两周），而OpenAI的GPT-5.6则限于约20家政府批准的企业，两者均在严格的供应商监管下运行。GLM-5.2则采用MIT许可证发布，不附带此类限制。

开源权重消除了供应商壁垒

两种监管模式的对比截然不同。在特朗普政府于6月12日援引出口管制权力禁止外国公民访问后，Anthropic的Mythos 5受到出口管制及审查合作伙伴名单的限制。此举源于亚马逊CEO安迪·贾西的警告，即研究人员曾利用消费级产品Fable 5的提示词提取可用于网络攻击的信息。

GLM-5.2则颠倒了这一局面。其权重可下载，运行在本地，供防御方依赖以发现滥用的云端日志也根本不会生成。Axios报道称，几天之内，黑客已在俄语论坛上交流破解方法，一名研究人员描述该模型"像一个顶尖人类黑客那样"串联利用漏洞。

中国三六零安全科技于6月24日加大了压力，发布了一款名为"图龙风"的漏洞发现工具，据称与Mythos水平相当。CEO周鸿祎在北京的一场会议上表示，如果美国实体能使用先进AI扫描中国网络，而中国企业却无法获得同等能力，中国将面临不可接受的风险。

防御方面临时间窗口压缩

Anthropic CEO达里奥·阿莫代伊在5月曾警告，Mythos已发现数万个软件漏洞，防御方或许只有六到十二个月的时间来修补，之后类似能力将更广泛地传播。GLM-5.2正是这种传播的体现。一个有能力的技术人员可将其接入现有扫描器和CI流水线，同时加速防御和攻击。

五角大楼已有所行动，近日宣布与国内为数不多的开源权重开发商之一Reflection AI达成协议，用于机密场景。微软及其他公司正在权衡如何在其平台上提供中国模型，这一进展可能加速开源权重替代方案的采用。

对投资者而言，影响是双刃剑。美国AI领军企业面临这样的竞争格局：它们最强大的网络安全工具受到政府监管的约束，而一个能力相当的中国替代方案却在自由运行。随着各组织争相部署防御性AI，以防攻击者先发制人地武器化开源权重模型，CrowdStrike、Palo Alto Networks、SentinelOne等构建AI驱动安全工具的公司可能面临需求增长。能力差距的缩小也给白宫带来了重新考虑芯片出口限制的压力，批评者认为这些限制已被蒸馏技术所削弱。

本文仅供参考，不构成投资建议。