Open-Weight-KI-Modelle holen bei Cybersicherheit auf — und Verteidiger haben weniger Zeit als gedacht

Die Daten, die den Zeitplan verändern
Das britische AI Security Institute (AISI) hat am 18. Juli 2026 seinen ersten Frontier AI Trends Report veröffentlicht. Darin verbirgt sich eine Erkenntnis, die die Debatte über Open-Weight-Modelle grundlegend verändern sollte.
In den letzten 18 Monaten ist der Abstand zwischen den Cyber-Fähigkeiten von Open-Weight-Modellen und den besten kommerziellen Frontier-Modellen von 6-10 Monaten auf nur noch 4-7 Monate geschrumpft. Open-Weight-Modelle wie GLM-5.2 und DeepSeek V4-Pro — Modelle, die jeder herunterladen, modifizieren und auf eigener Hardware ausführen kann — haben ein Niveau autonomer Cyber-Fähigkeiten erreicht, das geschlossene Frontier-Modelle erst vor vier bis sieben Monaten erreicht hatten.
Anfang 2025 betrug diese Lücke noch sechs bis zehn Monate. Der Trend ist eindeutig: Die Lücke schrumpft, und zwar schnell.
Wie das AISI die Modelle testete
Das AISI bewertete die Modelle mit zwei komplementären Methoden. Die erste, Narrow Cyber Tasks, umfasst 70 Einzelaufgaben auf vier Schwierigkeitsstufen — von nicht-technischer Arbeit bis zu Expertenaufgaben in Schwachstellenforschung, Reverse Engineering, Web-Exploitation und Kryptographie.
Die Ergebnisse waren aussagekräftig. GLM-5.2, veröffentlicht im Juni 2026, erreichte die Leistung von Opus 4.6 vom Februar 2026 — ein Abstand von etwa vier Monaten. DeepSeek V4-Pro lag auf dem Niveau von Opus 4.5, veröffentlicht im November 2025, also etwa fünf Monate zurück. Beide Modelle arbeiteten zu einem Bruchteil der Kosten ihrer geschlossenen Pendants.
Die zweite Methode, Cyber Ranges, testet autonome Fähigkeiten in simulierten Netzwerken. Das Szenario "The Last Ones" simuliert einen 32-Schritte-Angriff auf ein Unternehmensnetzwerk mit vier Subnetzen und etwa 20 Hosts — eine Aufgabe, die laut AISI einen menschlichen Experten etwa 20 Stunden kosten würde. In diesem Test schnitt GLM-5.2 ähnlich gut ab wie Opus 4.5, während DeepSeek V4-Pro unter Sonnet 4.5 lag.
Das Sicherheitsparadoxon: Offene Modelle, offene Schwachstellen
Der beunruhigendste Befund des Berichts betrifft nicht die Fähigkeiten, sondern die nahezu vollständige Wirkungslosigkeit der Sicherheitsmaßnahmen bei Open-Weight-Modellen. Sobald die Gewichte eines Modells veröffentlicht sind, kann jeder sie herunterladen, Sicherheitsvorkehrungen entfernen, Kopien frei teilen und das Modell auf privaten Systemen ohne jede Kontrolle ausführen.
Das AISI bezeichnet dies als "ein beständiges und irreversibles Missbrauchsrisiko". Der Bericht stellt fest, dass terroristische Gruppen bereits kommerzielle Chatbots für operative Zwecke jailbreaken — und Open-Weight-Modelle entfernen selbst die Hürde einer kommerziellen API: keine Ratenbegrenzungen, keine Inhaltsfilter, keine Prüfpfade.
Der Kostenunterschied verstärkt das Problem. Ein Open-Weight-Modell für Cyber-Aufgaben kostet einen Bruchteil dessen, was das äquivalente geschlossene Frontier-Modell pro Token verlangt.

Was dies für Unternehmen bedeutet
Für Unternehmenssicherheitsteams bedeutet der AISI-Bericht ein konkretes Zeitproblem. Die Daten deuten darauf hin, dass Open-Weight-Modelle innerhalb der nächsten 1-2 Jahre die heutigen Frontier-Cyber-Fähigkeiten wahrscheinlich vollständig erreichen oder übertreffen werden.
Dies wird durch die im Juli 2026 von VentureBeat veröffentlichte Pulse Research-Umfrage zur Agentensicherheit verstärkt, die ergab, dass 54 % der Unternehmen bereits einen KI-Agenten-Sicherheitsvorfall oder eine Beinahe-Katastrophe erlebt haben. Nur 32 % geben jedem Agenten eine eigene Identität, und nur 30 % isolieren ihre risikoreichsten Agenten in Sandboxen.
Was politische Entscheidungsträger aus den Zahlen lernen können
Der AISI-Bericht liefert harte Daten für eine Debatte, die oft in Abstraktionen geführt wurde. Der Kompromiss zwischen Open-Weight-Innovation und Sicherheit ist keine philosophische Frage — er ist messbar, und das AISI hat nun den Messrahmen geliefert. Die Zeit für Verteidiger läuft — bei 4-7 Monaten und weniger.
Quellen
Häufig gestellte Fragen
Was hat das britische AI Security Institute (AISI) über Open-Weight-Modelle und Cybersicherheit herausgefunden?
Das AISI testete Open-Weight-Modelle wie GLM-5.2 und DeepSeek V4-Pro gegen kommerzielle Frontier-Modelle bei 70 Cyber-Aufgaben auf vier Schwierigkeitsstufen. Open-Weight-Modelle hinken jetzt nur noch 4-7 Monate hinterher, verglichen mit 6-10 Monaten Anfang 2025. Bei komplexeren simulierten Netzwerkangriffen beträgt der Abstand etwa 7 Monate.
Welche Open-Weight-Modelle wurden getestet und wie schnitten sie ab?
Das AISI testete GLM-5.2 (veröffentlicht Juni 2026) und DeepSeek V4-Pro. GLM-5.2 erreichte das Niveau von Opus 4.6 vom Februar 2026 — etwa 4 Monate Rückstand. DeepSeek V4-Pro lag auf dem Niveau von Opus 4.5 vom November 2025. Im simulierten Netzwerkangriff Cyber Ranges schnitt GLM-5.2 ähnlich ab wie Opus 4.5.
Wie effektiv sind Sicherheitsmaßnahmen bei Open-Weight-Modellen?
Das AISI stellte fest, dass Sicherheitsmaßnahmen bei Open-Weight-Modellen weitgehend wirkungslos sind. Da die Modellgewichte heruntergeladen, modifiziert und auf privaten Systemen ohne Aufsicht ausgeführt werden können, lassen sich Sicherheitsvorkehrungen leicht entfernen. Das AISI bezeichnet dies als 'ein beständiges und irreversibles Missbrauchsrisiko'.
Warum ist die schrumpfende Lücke zwischen Open und Closed Modellen für Unternehmen bedeutsam?
Die schrumpfende Lücke bedeutet, dass Verteidiger weniger Zeit haben, sich auf KI-gestützte Cyberangriffe vorzubereiten. Open-Weight-Modelle sind deutlich günstiger als kommerzielle Frontier-Modelle, was fortschrittliche Cyber-Fähigkeiten für ein viel breiteres Spektrum von Akteuren zugänglich macht. Die Daten deuten darauf hin, dass sich die Lücke innerhalb von 1-2 Jahren vollständig schließen könnte.
Welche Vorteile von Open-Weight-Modellen erschweren die Sicherheitsdebatte?
Open-Weight-Modelle können privat gehostet werden, ohne dass Daten an Anbieter fließen. Sie sind anpassbar, kosteneffizient und basieren auf einer Grundlage, die kein einzelner Anbieter kontrollieren oder abschalten kann. Das AISI erkennt an, dass diese konkurrierenden Interessen gegen die Sicherheitsrisiken abgewogen werden müssen.
Weitere Artikel

29 Länder treten Chinas KI-Allianz bei — kein westlicher Staat sitzt mit am Tisch
29 Länder — darunter Russland, Brasilien, Südafrika, Pakistan und Indonesien — haben die World Artificial Intelligence Cooperation Organization (WIKO) mit Sitz in Shanghai gegründet. Null westliche Länder haben unterzeichnet. Was das bedeutet, warum es passiert und was es für die globale KI-Ordnung heißt.

KI kann jetzt den Zwilling eines Erregers entwerfen, der jeden DNA-Sicherheits-Scan umgeht — Google DeepMinds Plan dagegen
Google DeepMind räumt ein: KI kann DNA-Sequenzen entwerfen, die dieselbe gefährliche Funktion wie ein bekannter Erreger haben, ohne dessen Sequenz nah genug zu treffen, um bestehende Biosicherheits-Scans auszulösen — und stellt ein Programm mit 15+ Partnerschaften vor, das auf AlphaFold, SynthID und einem neuen DNA-Wasserzeichen aufbaut, um diese Lücke zu schließen.

KI-Wissensmanagement: Warum es vom Nice-to-have zum Muss wird
Dein Unternehmen hat kein KI-Modell-Problem. Es hat ein Wissenszugriffs-Problem. Warum KI-Wissensmanagement — nicht das nächste Flaggschiff-Modell — darüber entscheidet, ob KI in deinem Unternehmen wirklich funktioniert.