Alle Beiträge
Cybersecurity3. Juli 202614 min Lesezeit

GLM-5.2 und das Ende der Anbieterkontrolle — was offene KI-Modelle für Ihre Cyberabwehr bedeuten

Mit GLM-5.2 steht ein frei herunterladbares KI-Modell zur Verfügung, das in unabhängigen Sicherheitstests bei der Schwachstellensuche mit westlichen Spitzenmodellen gleichzieht — ohne Anbieter-Schutzschicht, ohne Protokollierung, lokal betreibbar. Warum das die Rechnung für Angreifer verändert, welche Chancen es zugleich für souveräne Sicherheitsprüfungen bietet und welche Verteidigungsmaßnahmen jetzt Priorität haben.

KI-SicherheitLLMSchwachstellenmanagementBedrohungslageOpen WeightsPatch-Management

Ein Kontrollmechanismus fällt weg

Die Debatte um KI-gestützte Cyberangriffe drehte sich bisher um eine unausgesprochene Annahme: Die leistungsfähigsten Modelle liegen bei einer Handvoll Anbieter, die den Zugang über eine Schnittstelle steuern, Missbrauch protokollieren und im Zweifel abschalten können. Wer ein Modell wie Claude oder GPT für einen Angriff nutzen wollte, hinterließ Spuren auf fremden Servern und musste die Schutzmechanismen des Anbieters überwinden. Diese Annahme trägt nicht mehr.

Mitte Juni 2026 veröffentlichte das Pekinger Unternehmen Z.ai (Zhipu AI) mit GLM-5.2 ein KI-Modell, das nach mehreren unabhängigen Auswertungen bei sicherheitsrelevanten Aufgaben — insbesondere dem Aufspüren von Schwachstellen — mit westlichen Spitzenmodellen wie Claude Opus 4.8 und GPT-5.5 gleichzieht. Der entscheidende Unterschied liegt nicht in der Leistung, sondern in der Verfügbarkeit: GLM-5.2 steht unter einer freien MIT-Lizenz auf der Plattform Hugging Face zum Herunterladen bereit. Die Gewichte lassen sich lokal betreiben, nachtrainieren und von jeder Schutzschicht befreien — ohne Protokollierung, ohne regulatorische Hürde, ohne einen Anbieter, der eingreifen könnte.

Das deutsche IT-Portal heise online titelte am 29. Juni 2026, die Hacking-Fähigkeiten von Chinas KI seien „angeblich so gut wie die von Claude". Fast zeitgleich warnte das BSI in einer eigenen Cybersicherheitswarnung vom 22. Juni 2026 vor genau dieser Dynamik — wir ordnen diese Warnung im Beitrag „Das BSI warnt: Wie KI die Bedrohungslage verschiebt" ausführlich ein. Für Unternehmen, die für die Sicherheit ihrer IT verantwortlich sind, verschiebt sich die Bedrohungslage damit spürbar — nicht in ferner Zukunft, sondern jetzt.

Was GLM-5.2 technisch ist

GLM-5.2 ist ein sogenanntes Mixture-of-Experts-Modell: Von der sehr großen Gesamtzahl an Parametern ist pro Anfrage nur ein Bruchteil aktiv, was den Rechenaufwand im Betrieb senkt. Die Angaben zur Gesamtgröße schwanken je nach Quelle zwischen 744 und 753 Milliarden Parametern — die veröffentlichten Werte widersprechen sich, weshalb wir keine exakte Zahl als gesichert ausgeben. Aktiv sind pro Anfrage rund 40 Milliarden Parameter. Gesichert ist das Kontextfenster von rund einer Million Token: Das Modell kann ganze Software-Repositories am Stück verarbeiten, statt nur einzelne Dateien zu betrachten.

Wichtiger als die Rohdaten ist die Einordnung: GLM-5.2 ist nicht das absolut leistungsfähigste Modell am Markt, aber es ist das leistungsfähigste, das frei verfügbar ist — und das zu einem Bruchteil der Kosten geschlossener Modelle. Über die Z.ai-Schnittstelle kostet es nach den veröffentlichten Preisen ein Vielfaches weniger als vergleichbare geschlossene Modelle; wer es lokal betreibt, zahlt gar keine Nutzungsgebühr mehr, sondern nur die Rechenkosten. Bemerkenswert ist ein Detail aus der Modellbeschreibung: Z.ai räumte ein, dass GLM-5.2 während des bestärkenden Lernens sogenanntes „Reward Hacking" zeigte — das Modell trickste die Belohnungsfunktion aus — und dass daraufhin gezielte Gegenmaßnahmen ergriffen wurden. Ein systematischer Sicherheitsbericht mit Prüfungen zu Missbrauchsresistenz wurde von Z.ai bislang nicht veröffentlicht.

Warum die Schwachstellensuche der kritische Punkt ist

Der eigentliche Auslöser der Sicherheitsdebatte ist nicht die allgemeine Intelligenz des Modells, sondern seine konkrete Leistung beim Aufspüren von Sicherheitslücken. Zwei unabhängige Sicherheitsfirmen haben GLM-5.2 gezielt darauf getestet und ihre Ergebnisse öffentlich gemacht.

Die Firma Semgrep prüfte, wie gut verschiedene Modelle IDOR-Schwachstellen (Insecure Direct Object Reference — eine Klasse von Zugriffskontrollfehlern) in echten Open-Source-Anwendungen finden. Bei identischem, minimalem Werkzeuggerüst erreichte GLM-5.2 einen F1-Wert von 39 Prozent und lag damit vor den getesteten Claude-Code-Varianten (37 Prozent mit Opus 4.6, 28 Prozent mit Opus 4.8/4.7). Die Kosten bezifferte Semgrep auf rund 17 US-Cent pro gefundener Schwachstelle — etwa ein Sechstel dessen, was ein vergleichbares Spitzenmodell kostet. Das Fazit der Tester: Bei gleichem Prompt und Werkzeuggerüst schlug ein offenes Modell zum Sechstel der Kosten Claude Code bei einer anspruchsvollen, denkintensiven Aufgabe der Sicherheitsforschung.

Die Firma Graphistry kam auf einem eigenen Prüfungssatz zu Capture-the-Flag-Aufgaben zu einem ähnlichen Bild: GLM-5.2 löste 28 von 59 Aufgaben und lag damit gleichauf mit Claude Opus 4.7 und 4.8. Graphistry nannte es das „beste offene Modell" und schrieb, es sei „das erste Mal", dass man sich mit dem Empfehlen eines offenen Modells für ein Erlebnis auf Frontier-Niveau „wohlfühle". Zugleich äußerte Graphistry einen Verdacht, der die Debatte um chinesische Modelle begleitet: Die auffällig hohe Übereinstimmung der Modellausgaben mit denen von GPT-5.5 und Opus 4.8 lege nahe, dass GLM-5.2 möglicherweise durch unzulässige Destillation aus diesen Modellen entstanden sei — ein unbewiesener Vorwurf, aber ein Hinweis auf die Herkunftsfrage.

Diese Zahlen bedeuten nicht, dass ein Modell auf Knopfdruck einsatzfertige Angriffe liefert. Eine gefundene Schwachstelle ist noch kein funktionierender Angriff — dafür braucht es Kenntnis der Zielumgebung, das Umgehen von Schutzmaßnahmen und einen zuverlässigen Payload. Aber der teuerste, langwierigste Schritt einer Angriffsvorbereitung — das systematische Durchsuchen von Code nach ausnutzbaren Fehlern — wird dadurch billig, schnell und beliebig skalierbar. Wer die grundlegenden Angriffsklassen nachschlagen möchte, findet in unserem Lexikon Einträge zu Exploit, Payload und Zero-Day.

Der Unterschied zu bisherigen KI-Risiken

Dass KI-Modelle Schwachstellen finden können, ist keine neue Erkenntnis — wir haben die grundlegende Dynamik in unserem Beitrag „Wenn KI Schwachstellen schneller findet als Menschen sie fixen können" beschrieben. Neu ist der Wegfall der Anbieterkontrolle. Solange die stärksten Modelle nur über die Schnittstelle eines Anbieters erreichbar waren, existierte eine wenn auch unvollkommene Bremse: Anbieter können auffälliges Verhalten erkennen, Konten sperren und über Schutzklassifikatoren den Missbrauch erschweren.

Wie ernst die Anbieter dieses Risiko selbst nehmen, zeigt Anthropics Umgang mit der eigenen Mythos-Klasse. Das Unternehmen brachte am 9. Juni 2026 zwei Varianten desselben Modells heraus: Claude Fable 5, versehen mit zusätzlichen Schutzklassifikatoren für die allgemeine Nutzung, und Claude Mythos 5, dasselbe Modell mit gelockerten Schutzmechanismen, das Anthropic als Modell mit den „stärksten Cybersicherheits-Fähigkeiten weltweit" beschreibt und zunächst nur einem kleinen Kreis geprüfter Cyberverteidiger im Rahmen des Programms „Project Glasswing" vorbehielt. Wie aufgeladen das Thema ist, zeigt der weitere Verlauf: Am 12. Juni 2026 belegte das US-Handelsministerium die Modelle mit Exportbeschränkungen; am 30. Juni wurden sie nach einer Analyse wieder aufgehoben, seit dem 1. Juli ist Fable 5 wieder allgemein verfügbar. Dieser ganze Kontrollapparat — gestufte Freigabe, staatliche Aufsicht, Schutzklassifikatoren — setzt voraus, dass der Zugang zentral steuerbar ist.

Bei einem offenen Modell mit MIT-Lizenz greift keiner dieser Mechanismen. Wer die Gewichte heruntergeladen hat, kann das Modell offline betreiben, die Schutzschichten entfernen und es gezielt für offensive Aufgaben nachtrainieren — Phishing-Texte, Betrugsskripte, Schadcode. Nach einem Bericht des Nachrichtenportals Axios vom 25. Juni 2026 tauschen sich Akteure bereits in russischsprachigen Foren darüber aus, wie leicht sich GLM-5.2 für Angriffszwecke umkonfigurieren lässt. Jason Baker, leitender Sicherheitsberater bei GuidePoint Security, verwies gegenüber Axios auf entsprechende Foren-Screenshots; schon eine harmlose Umformulierung — etwa der Hinweis, man wolle „das eigene Unternehmen vor Brute-Force-Angriffen schützen" — genüge teilweise, um Schutzmechanismen zu umgehen. Es gibt keinen Anbieter, der das bemerken oder unterbinden könnte.

Ein wichtiger Hinweis zur Redlichkeit: Es gibt bislang keinen öffentlich dokumentierten Angriff, der GLM-5.2 einem konkreten Täter zugeordnet hätte. Die Sorge ist vorausschauend und stützt sich auf die nachgewiesene Fähigkeit des Modells plus die beobachtete Diskussion in einschlägigen Foren. Als Präzedenzfall für KI-orchestrierte Angriffe dient ein anderer Vorfall: Anthropic berichtete am 14. November 2025, eine großangelegte, weitgehend autonom von Claude Code ausgeführte Cyberspionage-Kampagne (der Gruppe GTG-1002 zugeschrieben) mit rund 30 Zielen weltweit gestoppt zu haben. Dieser Fall nutzte allerdings Anthropics eigenes Modell über die Schnittstelle — nicht GLM. Er zeigt, was KI-gestützte Angriffe leisten können; er ist kein Beleg für einen GLM-Missbrauch.

Die andere Seite der Medaille: souveräne Sicherheitsprüfung

So sehr die offene Verfügbarkeit ein Risiko ist — sie ist zugleich eine Chance, die gerade für europäische Unternehmen zählt. heise online weist in seinem Bericht auf die Kehrseite hin: Dieselbe Fähigkeit, die Angreifern nützt, steht auch Verteidigern offen, und ein lokal betriebenes Modell verlässt das eigene Netz nicht. Organisationen können damit Code-Reviews und Sicherheitsprüfungen durchführen, ohne sensiblen Quellcode an eine US-Cloud zu übermitteln — ein handfester Vorteil für die DSGVO-Konformität und die digitale Souveränität.

Für die Praxis bedeutet das: Ein offenes, leistungsfähiges Modell kann helfen, Schwachstellen in der eigenen Software zu finden, bevor Angreifer es tun, die Flut monatlicher CVE-Meldungen auf die tatsächlich relevanten Fälle einzudampfen und Sicherheitsteams bei der Triage zu entlasten. Wer KI grundsätzlich kontrolliert und datenschutzkonform im Unternehmen einführen möchte, findet mit unserem Souveränen KI-Arbeitsplatz einen Rahmen, der Nutzung ermöglicht, ohne die Kontrolle über Daten und Modelle aufzugeben. Die entscheidende Frage ist nicht, ob offene Modelle existieren sollten — sie existieren —, sondern wer sie zuerst und geschickter für die Verteidigung einsetzt.

Reicht die Regulierung?

Für europäische Unternehmen stellt sich die Frage, ob der EU AI Act hier greift. Die Antwort ist ernüchternd differenziert. Der AI Act kennt für Modelle mit „systemischem Risiko" nach Artikel 55 durchaus scharfe Pflichten — Modellevaluierung samt dokumentierten Angriffstests (Red-Teaming), Risikobewertung auf Unionsebene, Meldung schwerwiegender Vorfälle an das AI Office und angemessene Cybersicherheit. Ein systemisches Risiko wird nach Artikel 51 vermutet, wenn der Trainingsaufwand die Schwelle von 10^25 Rechenoperationen (FLOP) überschreitet. Die für Open-Source-Modelle vorgesehene Ausnahme greift ausdrücklich nicht, sobald ein Modell als systemisch riskant eingestuft ist. Ein Modell wie GLM-5.2 könnte diese Pflichten also grundsätzlich auslösen.

Nur: Diese Pflichten richten sich an den Anbieter. Sie setzen voraus, dass ein greifbarer, der EU-Aufsicht zugänglicher Akteur existiert, der Dokumentation liefert, Tests durchführt und Vorfälle meldet. Bei einem in Peking ansässigen Anbieter, dessen Modellgewichte bereits weltweit heruntergeladen und kopiert sind, ist die praktische Durchsetzbarkeit begrenzt. Die Kommission erhält ihre Durchsetzungsbefugnisse — Auskunftsverlangen, angeordnete Minderungsmaßnahmen, Bußgelder — ohnehin erst ab dem 2. August 2026. Die Verbreitung der Fähigkeit überholt damit die Regelwerke, die auf anbieterbasierte Kontrolle ausgelegt sind. Verlassen Sie sich für Ihre eigene Sicherheit nicht darauf, dass die Regulierung das Problem an der Quelle löst.

Was Unternehmen jetzt konkret tun sollten

Die gute Nachricht vorweg: Die wirksamsten Gegenmaßnahmen sind keine exotischen KI-Abwehrwerkzeuge, sondern die soliden Sicherheitsgrundlagen, deren Vernachlässigung sich jetzt rächt. Genau das betont auch das BSI in seiner Warnung: Die empfohlenen Maßnahmen seien „grundsätzlich nicht neu", würden „in der Praxis aber oft vernachlässigt". Neu ist nur die Dringlichkeit — die Toleranz für über Jahre aufgeschobene Kompromisse ist gesunken.

Gehen Sie davon aus, dass Ihr erreichbarer Code analysiert wird

Rechnen Sie damit, dass Angreifer nicht nur Ihre exponierten Schnittstellen betrachten, sondern jeden erreichbaren Code vollständig analysieren können. Das betrifft Open-Source-Komponenten in Ihrem Stack, veröffentlichte Firmware, aber auch versehentlich publik gemachte Repositories. Eine aktuelle Software Bill of Materials ist die Grundlage, um überhaupt zu wissen, welche fremden Komponenten in welcher Version bei Ihnen laufen — und damit, welche neu gemeldeten Schwachstellen Sie tatsächlich betreffen.

Verkürzen Sie die Zeit zwischen Patch-Verfügbarkeit und Einspielung

Wenn das Auffinden von Lücken billiger und schneller wird, muss die Verteidigung nachziehen. In der Praxis liegt das Problem selten am Fehlen von Patches, sondern an langen internen Freigabe- und Testzyklen. Eine risikobasierte Priorisierung — etwa über die CISA-Liste bekannter ausgenutzter Schwachstellen (KEV) oder das Framework SSVC — sorgt dafür, dass die kritischsten Lücken zuerst geschlossen werden, statt Ressourcen gleichmäßig zu verteilen. Die Systematik dahinter beschreiben wir im Lexikoneintrag zum Patch-Management.

Reduzieren Sie die Angriffsfläche

Jeder Dienst, der nicht erreichbar sein muss, ist ein potenzielles Ziel für automatisierte Analyse. Mikrosegmentierung begrenzt die laterale Bewegung nach einem erfolgreichen Einbruch, das Least-Privilege-Prinzip verkleinert den Schaden pro kompromittiertem Konto, und Multi-Faktor-Authentifizierung sollte auf allen externen Zugängen ausnahmslos Standard sein. Ein Zero-Trust-Ansatz bündelt diese Prinzipien — unser Leitfaden zur Zero-Trust-Architektur zeigt die schrittweise Umsetzung.

Rechnen Sie mit dem Vorfall, statt ihn nur zu fürchten

Häufigere und schnellere Angriffe bedeuten, dass die Frage nicht mehr lautet, ob, sondern wann. Ein regelmäßig geübter Incident-Response-Plan, funktionierendes Monitoring aus SIEM und EDR sowie getestete Offline-Datensicherungen, die Ransomware nicht erreichen kann, entscheiden im Ernstfall über Stunden oder Wochen Ausfallzeit.

Fazit: Die Grundlagen entscheiden

GLM-5.2 verändert keine Grundgesetze der IT-Sicherheit. Was sich verändert, ist die Kalkulation: Die Fähigkeit, Software systematisch nach Schwachstellen zu durchsuchen, ist nicht mehr an teure, kontrollierte Anbieter gebunden, sondern steht als freier Download bereit. Das senkt die Einstiegshürde für Angreifer und beschleunigt die Entdeckung von Lücken — während das Beheben an menschliche und organisatorische Kapazitäten gebunden bleibt. Dieselbe Offenheit erlaubt es aber auch Verteidigern, souverän und datenschutzkonform zu prüfen, was früher nur über fremde Clouds ging.

Die Antwort darauf ist unspektakulär, aber wirksam: konsequentes Patchen, reduzierte Angriffsfläche, funktionierende Erkennung und geübte Reaktion. Nichts davon ist neu. Alles davon wird jetzt dringlicher. Wer diese Grundlagen belastbar aufstellt, ist gegen automatisierte Schwachstellensuche weit besser gewappnet als gegen einen gezielten menschlichen Angreifer — unabhängig davon, welches Modell auf der Gegenseite läuft.

Wissen, wo Ihre kritischsten Schwachstellen liegen — bevor eine automatisierte Analyse sie findet. Unsere IT-Schwachstellenprüfung untersucht Ihre gesamte Angriffsoberfläche, priorisiert die Funde nach tatsächlichem Risiko und liefert einen konkreten, umsetzbaren Maßnahmenplan. Jetzt Schwachstellenprüfung anfragen.

Nächster Schritt

Schwachstellen finden, bevor Angreifer es tun.

In einem unverbindlichen Erstgespräch besprechen wir Ihre konkrete Umgebung — wo die größten Risiken liegen und welche Maßnahmen den schnellsten Sicherheitsgewinn bringen.