中国开源 AI 模型在网络安全测试中超过 Claude Code，独立平台 Semgrep 称其成本优势明显

Semgrep 的最新测试显示，中国 AI 公司 Z.ai 发布的开源模型 GLM-5.2，在一项网络安全漏洞检测基准中超过了 Anthropic 的 Claude Code。

Semgrep 是一家总部位于旧金山的应用安全公司，主要产品包括静态应用安全测试、软件供应链扫描和密钥泄露检测。

公司维护同名开源代码扫描工具，并面向企业提供应用安全平台。按照 Semgrep 官网介绍，已经完成超过 7500 万次源码安全扫描。

Semgrep 的客户和开发者群体主要来自软件工程和应用安全领域，因此测试结果在网络安全社区具有一定参考价值。

Semgrep 在报告中称，GLM-5.2 在 IDOR 漏洞检测测试中取得约 39% 的 F1 分数，高于 Claude Code 的约 32%。IDOR 指“不安全直接对象引用”，是一类常见 Web 安全漏洞，攻击者可能借此越权访问不属于自己的数据。

Semgrep 还称，按每发现一个漏洞计算，GLM-5.2 的成本约为 0.17 美元，明显低于 Claude Code。

网络安全和代码审查长期被认为是美国顶级 AI 实验室仍占明显优势的领域。GLM-5.2 在这一单项测试中的表现，显示中国开源模型正在快速缩小与美国闭源前沿模型之间的差距。

不过，Semgrep 测试的是 IDOR 漏洞检测这一具体任务，并不代表 GLM-5.2 在所有网络安全、代码生成或综合推理能力上全面超过 Anthropic、OpenAI 等美国公司的模型。

Semgrep 自己也指出，其自研的多模态安全检测流程在同一任务中仍取得 53% 至 61% 的 F1 分数，高于单一通用模型。

GLM-5.2 于 6 月发布，由 Z.ai 推出。Z.ai 是清华大学孵化的中国 AI 公司智谱 AI 的国际品牌。模型以 MIT 许可证开放权重，用户可从 Hugging Face 下载，并可在常见开源推理框架中部署。开放权重降低了企业和开发者使用成本，也使其更容易被集成到代码审查、安全测试和软件工程流程中。