中国Zhipu AIの「GLM-5.2」、Claude Mythosに匹敵するソフトウェア脆弱性検出能力を発揮

Zhipu AIが新たにリリースした「GLM-5.2」モデルが、セキュリティコミュニティで大きな注目を集めています。その理由は、Anthropicのアクセス制限された「Claude Mythos」システムに匹敵する脆弱性検出能力を持つとされるためです。

Securityvulnerability database

この展開は、先進的な人工知能に対する米国の輸出規制政策の実効性に新たな疑問を投げかけています。

2026年6月13日にオープンウェイトのパーミッシブライセンスの下でリリースされたGLM-5.2は、世界中の研究者や開発者が一般向けハードウェア上で無償でダウンロード・実行できるモデルです。このアプローチは、国家安全保障上の理由から厳しく管理されている米国製フロンティアモデルとは対照的です。

中国Zhipu AIの「GLM-5.2」モデル

GLM-5.2は汎用的な推論能力やベンチマークランキングでは米国の主要モデルに及ばないものの、特定のセキュリティ用途における性能は注目に値します。

Semgrepが実施した独立テストでは、同モデルが「安全でない直接オブジェクト参照(IDOR)」脆弱性の検出において39%のF1スコアを達成し、同一の評価データセットでClaude Codeが報告している32%〜37%の範囲を上回る結果となりました。

実用的な観点から見ると、このスコアの向上は、Webアプリケーションにおける一般的かつ重大な脆弱性カテゴリの検出精度とリコールが向上したことを意味します。

さらに、GLM-5.2はコスト面でも大きな優位性を示しました。脆弱性1件あたり約0.17ドルで検出できる一方、同等のClaudeベースのワークフローでは1.00ドル以上かかります。この差は、大規模な自動セキュリティ分析における同モデルの効率性を際立たせています。

Graphistryによる追加ベンチマークもこれらの結果を裏付けており、オープンにアクセス可能な中国製モデルが、特定のサイバーセキュリティタスクにおいて米国の独自システムと十分に競合できることが確認されました。

この展開は、米国のAI政策の根幹をなす前提——「高度なモデルへのアクセスを制限することで、敵対的勢力のサイバー攻撃能力を抑制できる」という考え方——に疑問を突きつけています。

トランプ政権下では、Claude MythosやFableといったモデルが、悪用可能なソフトウェアの欠陥を自律的に発見できる能力を持つとして戦略的資産に分類され、外国勢力による悪用を防ぐために輸出規制が設けられました。

GLM-5.2の登場は、同等の能力が独自に開発され制限なく配布できることを示すことで、この戦略を直接的に損なっています。CSNが報じているように、この事実は政策立案者に重大な示唆を与えるものです。

特に懸念されるのは、Claude Mythosを使用して10,000件以上の重大な脆弱性を特定したAnthropicの「Project Glasswing」など、AIによる脆弱性発見の実績がすでに示されている点です。オープンウェイトモデルで同等の能力が利用可能になることで、防御側の研究者にとっても悪意ある攻撃者にとっても、参入障壁が大幅に下がります。

この状況は、悪用リスクから提供を限定しているOpenAIの最近のGPT-5.6リリースをはじめ、強力なAIシステムへのアクセスを制御しようとする米国の広範な取り組みとも重なっています。

しかしGLM-5.2は、世界中の競合が特定分野での開発を加速させる中、モデルへのアクセスを制限するだけでは技術的優位性を維持するには不十分かもしれないことを浮き彫りにしています。

セキュリティ専門家は、高性能な脆弱性検出モデルが広く普及することで脆弱性発見のタイムラインが短縮され、防御自動化が強化される一方で、エクスプロイトの急速な兵器化リスクも高まると警告しています。

GLM-5.2は最終的に、オープンウェイトモデルが独自のフロンティアシステムとの差を縮めつつあるという、AIサイバーセキュリティ分野における転換点を示すものです。

グローバルに競争が激化する環境の中で、イノベーション・アクセシビリティ・セキュリティのバランスを取ることがますます困難になるにつれ、政策立案者やセキュリティリーダーは既存の戦略を見直さざるを得なくなる可能性が高いでしょう。

Endpointsecurity software

翻訳元: https://gbhackers.com/chinas-zhipu-ai-model-glm-5-2-detects-software-vulnerabilities/

ソース: gbhackers.com