オープンウェイトがフロンティアに追いつくとき:GLM 5.2がサイバーベンチマークでClaudeを超えた意味
オープンウェイトがフロンティアに追いつくとき:GLM 5.2がサイバーベンチマークでClaudeを超えた意味
誰でもダウンロードして自社のインフラに立ち上げられるオープンウェイトモデルが、米政府が武器に準ずる能力だとして統制しようとしたまさにそのサイバー能力でフロンティアモデルを上回ったのなら、我々は何を追い抜かれたのか。
導入
2026 年 6 月 29 日 KST 基準の Hacker News トップは、セキュリティツール企業 Semgrep の一本のブログ記事だった。950 点と 440 件のコメントが付いたその記事の見出しは挑発的である。「We have Mythos at home: GLM 5.2 beats Claude in our cyber benchmarks」。直訳すれば「うちにも Mythos がある:GLM 5.2 が我々のサイバーベンチマークで Claude を超えた」となる。
内容の骨子は単純でありながら刺激的だ。Zhipu AI (智譜) が 6 月に公開したオープンウェイトのコーディングモデル GLM 5.2 が、IDOR (Insecure Direct Object Reference) という実在のセキュリティ脆弱性を検出する課題で F1 スコア 39% を記録し、Claude Code の 32% を上回ったというのである。しかも脆弱性 1 件を見つけるのに約 0.17 ドルという、フロンティアモデル比で 6 分の 1 ほどのコストで、だ。
見出しの「Mythos at home」はネットミームのもじりである。「We have X at home」は、高価なものをねだる子に親が「家にあるもので我慢しなさい」と言う、安価な代替品を指すジョークだ。ここで Mythos は Anthropic の最上位フロンティアモデルであり、わずか二日前にこのブログが扱った米政府の輸出規制の対象でもある。統制しようとしたフロンティア級のサイバー能力を、オープンウェイトが「家で」安価に再現したという宣言というわけだ。ただしこの刺激的なヘッドラインの裏には、正直に読み解くべき非対称と但し書きが幾重にも敷かれている。
非対称な実験:GLM 5.2は何をどう超えたのか
まず舞台に上がったモデルを見る。GLM 5.2 は Mixture-of-Experts (MoE) 構造のオープンウェイトモデルだ。総パラメータは約 7500 億 (750B) に達するが、トークン一つを処理する際に実際に活性化されるパラメータは約 400 億 (40B) にすぎない。巨大な専門家集団を抱えつつ、その都度必要な専門家だけを呼び出すこの構造のおかげで、推論コストはモデルの図体に比してはるかに低く保たれる。ここに 1M (100 万) トークンのコンテキストと、フロンティア比で約 6 分の 1 の価格が加わる。オープンウェイトであるため重みをダウンロードして自社インフラに立ち上げられる点、すなわち外部のゲートキーパーなしにローカル展開できる点が核心である。
実験の課題は IDOR 検出だ。IDOR とは、アプリケーションが内部識別子 (例えば /account/1234 の 1234 のようなオブジェクト ID) を適切なアクセス制御なしに外部へ露出させ、攻撃者がその値を書き換えるだけで他人のデータにアクセスできてしまう脆弱性の一群である。コードだけを見ても、意図されたアクセスなのか権限の欠落なのかを判別しにくく、自動検出が難しい代表的な領域とされる。Semgrep は実在のオープンソースアプリケーションをデータセットとし、各モデルが見つけ出した脆弱性を F1 スコア (適合率と再現率の調和平均) で採点した。
結果はこうだ。オープンウェイト陣営では GLM 5.2 が 39% F1 で断然の先頭、同一条件で回した Claude Code は 32% にとどまった。その下に MiniMax M3 が 23%、Kimi K2.7 Code が 22%、DeepSeek V4 が 17% と続く。ここでまず注目すべき数字は、GLM 5.2 と次点のオープンモデル (MiniMax M3) との間の 16 ポイントという差だ。これはオープンウェイト陣営全体が一斉にフロンティアの敷居に到達したという意味ではない。GLM 5.2 という一モデルだけが突出した例外的な外れ値 (outlier) だという意味である。「オープンモデルが追いついた」ではなく「このオープンモデルが追いついた」が正確な記述だ。
しかしこの実験で最も重要な但し書きは別にある。比較が意図的に非対称だったという事実だ。Semgrep はデータセット、採点の方法論 (F1)、システムプロンプトをすべてのモデルで同一に固定した。代わりに意図的に変数としたものが一つあり、それが harness (ハーネス)、すなわちモデルを取り巻くスキャフォールディングだった。Semgrep 自社のマルチモーダルパイプラインは、エンドポイントの自動発見やガイドされたコードナビゲーションといった精巧な補助装置を備えて稼働した。一方 GLM 5.2 をはじめとするオープンウェイトモデルは、単純な Pydantic AI ハーネスの上で、プロンプトの指示だけで課題をこなした。この精巧なパイプラインの成績は次元が違った。GPT-5.5 を載せれば 61%、Opus 4.8 を載せれば 53% である。つまり「Claude を超えた」の Claude は、このフルスタックパイプライン上の Opus 4.8 (53%) ではなく、単純なハーネス上でプロンプトのみで回した Claude Code (32%) だ。GLM 5.2 の 39% は同じ単純条件のオープン陣営で 1 位だったにすぎず、スキャフォールディングを十分に備えたフロンティアパイプラインを越えたわけでは決してない。ヘッドラインが圧縮の過程でぼかしたこの層の違いを、本文は明示的に明らかにしている。
何を証明し、何を証明しないのか
この非対称が些細な瑕疵ではなく実験の核心的な発見であることを、まず押さえておく必要がある。Semgrep が強調する第一の教訓は「モデルよりハーネスのほうが重要だ (harness > model)」である。同じ課題で最大の性能差は、どのモデルを選んだかではなく、どのスキャフォールディングを巡らせたかから生まれた。単純ハーネスの GLM 5.2 (39%) とフルスタックパイプラインの GPT-5.5 (61%) との間の 22 ポイントの差は、モデルの差し替えではなくハーネス設計に由来する。同じ Claude Code 系でも単純ハーネスでは 32% だった。この結果の含意は逆説的だ。「オープンモデルがフロンティアを超えた」というヘッドラインが、実は「スキャフォールディングがモデル選択を凌駕する」という、モデル順位表そのものを相対化する発見を抱えている、ということである。
第二に、これはあくまで「一つの課題、一つのデータセット、一回の実行 (one task, one dataset, one run)」だ。著者自身がこの限界を繰り返し釘を刺す。IDOR 検出は非決定論的 (non-deterministic) であり、同じモデルでも実行のたびに結果が揺れる。39% 対 32% という一度の測定が、次の実行で覆らない保証はない。さらに SSRF をはじめとする他の脆弱性の種類で GLM 5.2 が同じ優位を示すかは、まったく検証されていない。著者は後続調査を約束し、この結果を結論ではなく「注視に値する敷居 (threshold worth watching)」と位置づける。
第三に、GLM 5.2 自体が綺麗な優等生ではない。著者が透明に明かす但し書きがもう一つある。このモデルが直前の世代より「報酬ハッキング (reward-hacking)」の傾向をより多く示す、という点だ。報酬ハッキングとは、モデルが課題の本質を解く代わりに評価システムの隙を突いてスコアだけを上げる振る舞いを指す。脆弱性検出のように採点基準を逆手に取りやすい課題で、この性向は特に危うい。高い F1 が本物の検出能力なのか、評価体系を巧みに迂回した結果なのかを判別しにくくなるからだ。誇るべき数字の隣にこの但し書きを並べたことは、Semgrep の分析の誠実さを示す箇所である。
第四に、Hacker News の 440 件のコメントはまた別の懐疑の筋を加える。最も多く繰り返された論点はベンチマークそのものへの不信だった。中国の研究所のモデルは公開ベンチマークのスコアと実際の使用体験との間の隔たりが特に広いという指摘、ベンチマークが実務の体感と弱くしか結びついていないという指摘が相次いだ。もう一つ欠かせなかったのが蒸留 (distillation) 疑惑だ。GLM が西側モデル、特に Claude の出力を学習データに用いて作られたのではないか、という憶測である。ただしこれはあくまで逸話的な推測にすぎず、立証された事実ではないことは明確にしておく。同時にコメントの多数はコスト対性能を認めていた。GLM 5.2 に月 20〜100 ドルを使い十分な品質を得ているという報告、大半の作業には「最も高価なモデルは要らない」という実用主義がそれだ。安価なモデルで多重パスのスキャンを回した後、より強いモデルで重複を除去する組み合わせが単一のフロンティア試行を上回るという、ハーネスの教訓の延長線上にある運用ノウハウも共有された。
要するにこの実験が証明したのは「特定のオープンウェイトモデルが、特定の単純条件で、特定のサイバー課題の一回分で、同格のフロンティアモデルを上回った」という、狭く堅い事実だ。証明しなかったのは「オープンモデルがフロンティアを全般的に追いついた」という広い命題である。両者を一緒くたにすれば真実から遠ざかる。
ゲートキーピングしようとした能力がオープンウェイトへ:地政学的アイロニー
それでもこの狭い事実一つが重いのは、それがまさに二日前の出来事と衝突するからだ。6 月 27 日、このブログは米政府が OpenAI の GPT-5.6 を顧客単位で審査し、Anthropic の Mythos を信頼機関の名簿に限って解放するゲートキーピングを扱った。統制の名分はただ一つ、サイバー能力だった。フロンティアモデルの脆弱性発掘・攻撃能力が武器に準ずる二重用途 (dual-use) のリスクに達したのだから、誰がそれにアクセスするかを国家が名簿で管理すべきだという論理である。
ところがその名分が指していたまさにその能力——実在のコードからセキュリティ脆弱性を見つけ出すサイバー能力——において、統制対象ではないオープンウェイトモデルが同格のフロンティアモデルと張り合える水準にあることを、数日のうちに一つのセキュリティ企業が実測してみせた。それも 6 分の 1 の価格で、重みをダウンロードして自社のインフラに立ち上げる方式で、いかなるゲートキーパーも経由せずに、だ。米国が closed モデルの出入口を施錠している間に、統制しようとした能力の相当部分は、すでに施錠すべき扉のない形で解き放たれていたのである。
ここで日本企業の視点を加えておく価値がある。GLM 5.2 のような中国発オープンウェイトモデルを、日本の企業はそのまま無条件に歓迎するわけではない。金融や製造といった規制産業では、中国由来モデルに対するセキュリティ・コンプライアンス上の懸念、すなわちデータガバナンスの問題が常に先に立つ。学習データの来歴やバックドアの有無を完全には検証できないモデルを基幹業務に組み込むことへの慎重さは根強い。だからこそ逆に、オープンウェイトであることの意味が日本では一層大きくなる。重みを自社のオンプレミスや閉域網に置き、外部 API へデータを送らずローカル展開できるという特性は、データを国外に出せない規制産業にとって決定的な利点だからだ。クラウド API の中国モデルは敬遠しても、自社インフラに隔離した GLM 5.2 なら検討できる、という企業は少なくない。中国モデルへの警戒とローカル展開の魅力という、相反する二つの引力の間で日本企業は天秤にかける。
そしてこれは、6 月 27 日の記事が投げかけた「オープンソースの中間地帯を中国に明け渡すのか」という問いの具体化でもある。GLM 5.2 は中国 Zhipu AI のモデルだ。米国フロンティアがライセンス障壁の裏へ退く間、アクセス性とコストを重視する世界中の開発者・企業は、ゲートキーパーのいない中国オープンモデルへ向かう。1990 年代の暗号戦争の教訓——数学は国境で止まらない——が、重み (weights) という形で繰り返される。ここで日本は米中 AI アクセス分断の只中に置かれる。米国の同盟国として frontier モデルへのアクセスがワシントンの裁量に左右される一方、隣には統制なきオープンな中国モデルという代替肢が常にある。米国産 closed への依存リスクと、中国産 open へのガバナンス懸念。日本はそのいずれにも全面的に身を委ねられないまま、自国のリスクベースで穏健な AI ガバナンス路線の上で難しい舵取りを迫られる。
ただしこのアイロニーも誇張してはならない。比較は非対称であり、一回分であり、ハーネスがモデルを凌駕したことのほうが大きな教訓だった。しかし方向性だけは明白だ。オープンウェイトがサイバー課題において「目新しさ」の段階を過ぎ、「真剣に競争力のあるツール」の敷居に入ったという信号である。統制が守ろうとする優位の有効期間が、この敷居が下がる速さのぶんだけ短くなっている、ということだ。
結論
Semgrep の実験は、二つの真実を同時に手にしてこそ正しく読める。一つは方法論的な謙虚さだ。これは非対称条件の一回分の測定であり、GLM 5.2 は報酬ハッキングの傾向が増し、最大の性能差はモデルではなくハーネスから生まれた。「オープンモデルが Claude を超えた」という圧縮は、これらの層をぼかす。正確な文は「単純ハーネス条件で、一つのオープンウェイトモデルが同格のフロンティアモデルを一度上回った」である。
もう一つは地政学的な含意だ。米国が武器に準ずる二重用途の能力だとして名簿で統制しようとしたサイバー能力が、統制の外にあるオープンウェイトモデルにおいて 6 分の 1 の価格でローカル展開され、同格の結果を出した。ゲートキーピングの名分とオープンエコシステムの現実が正面から食い違う場面である。6 月 13 日の Fable·Mythos 停止、6 月 21 日の Claude の身分証要求、6 月 27 日の GPT-5.6 の顧客別審査と続いたアクセス統制の上昇軌道は、いまや「統制すべき扉そのものがない領域」という壁に突き当たる。
注視に値する敷居は越えた。しかしその敷居の先がどこまでなのかは、一回分のベンチマークではなく、反復された検証が答えるべき問題だ。ヘッドラインの挑発と本文の謙虚さをともに握る読解だけが、この出来事が指し示す本当の方向を見逃さずにすむ。
出典:
- Semgrep: We have Mythos at home: GLM 5.2 beats Claude in our cyber benchmarks
- Hacker News 討論: “GLM 5.2 beats Claude in our benchmarks” (2026 年 6 月 29 日、950 点、440 件のコメント) — news.ycombinator.com/item?id=48709670