【安全圈】国产AI打赢Claude

admin 2026-06-30 08:21:31 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Semgrep测评显示智谱开源模型GLM5.2在无工具辅助的IDOR检测中以39%击败Claude的32%。这标志国产开源模型安全推理能力首超闭源,单漏洞成本仅0.17美元。AI代码审计差距已转向工具链,安全团队可低成本部署开源模型提升检测效率。 综合评分: 68 文章分类: AI安全,代码审计,漏洞分析,WEB安全


cover_image

【安全圈】国产AI打赢Claude

安全圈

2026年6月29日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

AI

一个开源模型,没有花哨的工具加持,只凭一个提示词,就在漏洞检测上打赢了Claude。

这不是国产AI的自嗨,而是全球知名安全工具公司Semgrep的官方测评结论。

事情是这样的

6月22日,全球领先的代码安全分析平台Semgrep发布了一篇博文,标题很有意思——“We have Mythos at Home”(我们家里也有Mythos)。

这个标题是在调侃Anthropic此前被业界封为”网络空间之王”的Mythos系列模型。言下之意:你们吹上天的Mythos,我们用开源模型也能打。

他们做了一件很”较真”的事:把智谱AI的开源模型GLM 5.2,和Claude等一众闭源前沿模型,放在完全相同的条件下做漏洞检测测试。

结果让所有人意外——

GLM 5.2:39% F1分数 Claude Code:32% F1分数

国产开源模型,赢了。

什么是IDOR?为什么这个测试很重要?

IDOR(不安全的直接对象引用)是一种常见的Web安全漏洞。简单说,就是程序暴露了一个内部ID(比如用户ID),攻击者改个数字就能看到别人的数据。

这种漏洞不靠简单的字符串匹配就能发现,需要模型理解:请求参数、权限逻辑、数据访问路径之间的关系。这是一项真正考验”安全推理能力”的任务。

Semgrep测试的正是模型在这方面的真实水平。

关键细节:没有任何”外挂”

这次测试最核心的设计是:开源模型只拿到了一个提示词和代码库,没有给任何额外的工具支持。

而Semgrep自家的多模态流水线(带专用工具链)能跑到53%-61%的F1分数,说明工具和流程设计确实能大幅提升效果。

但在”纯裸奔”的条件下,GLM 5.2是所有模型中表现最好的。

这意味着什么? 模型本身的能力,国产已经不输甚至超越了。剩下的差距,更多在工具链和工程化上。

不只是Semgrep一家说了算

Graphistry的CyBT-CTF基准测试也给出了类似结论:GLM 5.2的表现与Anthropic的Opus 4.8处于同一水平线。

也就是说,这不是一次偶然的”爆冷”,而是多项独立测试共同验证的结果。

成本呢?

GLM 5.2每发现一个漏洞的成本大约是0.17美元

作为开源权重模型,企业可以自己部署,不需要为API调用持续付费。对于安全团队来说,这意味着AI辅助漏洞检测的门槛被大幅拉低了。

更大的图景

这件事的意义已经超出了技术本身:

第一,开源模型在专业安全领域首次实现对闭源模型的正面超越,而不只是靠性价比取胜。

第二,它回答了一个行业核心问题: 漏洞检测的性能,到底来自模型还是来自工具链?Semgrep的结论是——两者都重要,但模型本身的差距正在被填平。

第三,对于中国AI产业来说,这是一个标志性时刻。 在代码安全这个高门槛、高专业度的领域,国产模型证明了自己不只是”能用”,而是”能赢”。

最后

Semgrep文章的标题”We have Mythos at Home”,翻译过来就是:

“别羡慕别人家的Mythos了,我们自己家也有。”

而这次,”自己家的”是来自中国的GLM 5.2。

END

阅读推荐

【安全圈】三星 Galaxy 手机被曝高危安全漏洞

【安全圈】波兰捣毁与数百万美元加密货币盗窃案相关的 SIM 卡交换团伙

【安全圈】新型 Gaslight macOS 恶意软件利用提示注入扰乱 AI 辅助分析

【安全圈】苹果印度代工厂遭黑客入侵 海量新机机密文件流入暗网

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈 《【安全圈】国产AI打赢Claude》

评论:0   参与:  0