Open-weight AI-modellen lopen op offensieve cyberaanvalscapaciteit nog maar 4 tot 7 maanden achter op de gesloten frontier-modellen, meldt het Britse AI Security Institute (AISI), tegen 6 tot 10 maanden een jaar eerder. Het gat tussen vrij te downloaden modellen en de zwaarste betaalde systemen sluit zich dus zichtbaar.
Voor een security-team bij een Nederlands bedrijf verschuift daarmee de rekensom van dreiging. De capaciteit om zelfstandig kwetsbaarheden te vinden en uit te buiten, tot voor kort voorbehouden aan de duurste modellen achter strakke leveranciersremmen, zit nu in modellen die iedereen kan downloaden, draaien en aanpassen. Dat verkleint het venster waarin je een lek kunt patchen voordat een aanvaller met dezelfde gereedschapskist het vindt.
Wat AISI mat
Het instituut testte de modellen langs twee assen. De eerste is een set van 70 smalle cybertaken over vier moeilijkheidsniveaus, van technische leek tot expert, met kwetsbaarhedenonderzoek, reverse engineering, web-exploitatie en cryptografie. De tweede zijn cyber ranges: gesimuleerde bedrijfsnetwerken waarin een model een aanval van begin tot eind zelf moet uitvoeren, zoals "The Last Ones", een aanval in 32 stappen op een bedrijfsnetwerk zonder actieve verdedigers.
Het sterkste open model in de test, het Chinese GLM-5.2 uit juni 2026, evenaart op de smalle taken frontier-modellen van ongeveer vier maanden eerder en presteert op de langere cyber ranges op het niveau van systemen van zo'n zeven maanden terug. DeepSeek V4-Pro zit daar vlak achter, op het niveau van een frontier-model van vijf maanden eerder.

Dat sluit aan bij een Chinees model dat Anthropics zwaarste systeem Mythos al evenaart in het opsporen van beveiligingslekken: juist cybersecurity is de discipline waarin de achterstand het snelst wegsmelt.
Veiligheidsremmen werken nauwelijks
Het ongemakkelijke deel zit niet in de scores, maar in de remmen. AISI vond dat de veiligheidsmaatregelen op de open modellen grotendeels ineffectief zijn. DeepSeek V4-Pro weigerde af en toe een reverse-engineering-taak, maar een paar keer opnieuw proberen was genoeg om die weigering te omzeilen.
Dat is geen toeval. Bij een open model geef je de gewichten zelf uit handen, dus de maker houdt veel minder aanknopingspunten over om misbruik tegen te houden dan bij een gesloten model dat alleen via een gecontroleerde API draait. Hetzelfde instituut liet twee weken terug al zien dat zelfs bij een gesloten model universele jailbreaks de cyberremmen van OpenAI's GPT-5.6 volledig omzeilden. Bij open gewichten valt die laatste barriere goeddeels weg.
De kosten kelderen mee
De scherpste haak is de prijs. Waar een volledige testrun op Opus 4.5 of 4.6 rond de 85 dollar kostte, deed DeepSeek V4-Pro hetzelfde voor ongeveer 1,19 dollar, zo'n zeventig keer goedkoper. Per betrouwbaar uitgevoerde taak zakte de kostprijs van 15 dollar naar 28 dollarcent.
Bijna-frontier aanvalscapaciteit, zonder werkende rem, tegen een prijs die geen drempel meer is: dat verlaagt de instapkosten voor een aanvaller met weinig middelen fors. De capaciteit is niet langer schaars, ze is nagenoeg gratis.
De richting is daarmee duidelijk. Het gat sluit zich niet alleen op de benchmark, het sluit zich in de handen van wie het wil gebruiken, en het verdedigende antwoord loopt achter de feiten aan. Het is precies waarom de sector zich organiseert rond initiatieven als een coalitie van negentien techbedrijven die kritieke open source moet verdedigen tegen AI-versnelde aanvallen. Wie zijn patchbeleid en kwetsbaarhedenbeheer nog op het oude, tragere tempo heeft staan, meet zich aan een tegenstander die vandaag al een paar maanden dichterbij staat dan een half jaar geleden.
Veelgestelde vragen
Je verdediging op het nieuwe tempo
Nu aanvalscapaciteit sneller en goedkoper wordt, telt hoe snel jouw eigen systemen kwetsbaarheden zien en dichten. Ik denk met je mee, ontwerp en bouw de koppelingen en automatiseringen die je patch- en monitoringproces bijhouden, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
