先週末、pimeysというHNユーザーがHacker Newsにこんなコメントを投稿した。彼は2日間、20ドルで、中国企業・智譜(Z.ai)が新たにリリースしたモデルGLM 5.2を使い、ゼロから暗号化機能付きのMatrixチャットボットと、家中のデバイスを管理するAIアシスタントを構築した。同じ人物は普段GPTでコードを書いており、1回のプログラミングセッションで100ドル以上を消費することも珍しくない。
“Nothing felt off with GLM,” と彼は書いている——「違和感はまったくなかった。速くて、安くて、煩わしくない。OpusやGPTよりはるかにコストがかからない。」
「安い」だけならニュースではない。しかし同じ週、世界最大級のコードセキュリティ企業Semgrepが評価レポートを公開した。彼らがコードのセキュリティ脆弱性検出能力をテストするベンチマークにおいて、GLM 5.2はF1スコア39%を獲得。一方、Anthropicの旗艦製品Claude Codeは32%にとどまった。さらに重要なのは、GLM 5.2が実際の脆弱性を1件発見するコストが約0.17ドルだったことだ。
安いからといって品質が劣るとは限らない——この常識が裏返された。劣らないどころか、勝っていたのだ。
このテストは何を測ったのか
まず明確にしておく。Semgrepは「米中AI対決」を演出しようとしたわけではない。彼らがもともと答えようとしたのは、退屈だが重要な問いだ——脆弱性検出において、強いのは大規模モデルそのものなのか、それともモデルに与える「足場」(技術者はこれをharnessと呼ぶ)なのか。harnessとは何か。平たく言えば、モデルがコードを読むのを助けるツールシステムのことだ。例えば、関連ファイルを自動的に選別し、重要なインターフェースをマークし、モデルにそれらのモジュールだけを見て脆弱性を探させる。
Semgrepの商用製品は、入念に作られたharnessの上で動作する。このシステムはコードリポジトリを受け取ると、まずすべてのインターフェースを列挙し、呼び出し関係を整理し、調査範囲を絞り込んだうえで、最も重要な部分だけをAIモデルに渡し「ここにセキュリティ脆弱性があるか」を判断させる。このフローにより、Semgrepの内部パイプラインは53%–61%のF1スコアを達成しており、業界トップクラスだ。
しかしGLM 5.2は違った。harnessは一切与えられていない。Semgrepが与えたのは何か。「IDOR脆弱性とはこういうものだ」というテキスト説明、最もシンプルな実行フレームワーク(Pydantic AI)、そしてラベルのないオープンソースコードの束。それだけだ。あとは「探し始めてくれ」と。
これは例えるならこうだ。A選手は精密機器一式を持ち込んでビルのクラックをスキャンする。B選手は「クラックはだいたいこんなもの」と書かれた一枚の紙だけを渡され、ビルに入って自分の目で探す。結果、B選手のほうがより多くのクラックを発見した——すべてではないが、効率はより高かった。
GLM 5.2とは何者か
GLM 5.2は北京の智譜華章(Z.ai)が開発したモデルで、2026年6月13日に有料ユーザー向けに開放され、6月16日にモデルウェイトが公開された。ライセンスは最も寛容なMITオープンソースライセンス——誰でもダウンロード、デプロイ、改変、そして商用利用が可能だ。Semgrepチームはソーシャルメディアで話題になっているのを見て評価対象に加えたところ、結果に驚愕したという。
知っておくべき主要スペックは以下の通り。これは「Mixture-of-Experts(混合専門家)」モデルで、総パラメータ数は約7500億。ただし推論ごとに実際にアクティブ化されるのは約400億パラメータだけだ。簡単に言えば、頭脳は巨大だが、思考のたびに最も関連性の高い部分だけを呼び出す——省電力かつ高効率だ。コンテキストウィンドウは100万トークンに達する。これは一度に「記憶」し処理できる情報量が、長編小説数冊分に相当することを意味する。プログラミング能力ベンチマークでは、Terminal-Bench 2.1で81.0点(Claude Opus 4.8は85.0)、SWE-bench Proで62.1点(GPT-5.5の58.6を上回る)。
一般人がこれらの数字を暗記する必要はない。要するに、プログラミングにおいて、このモデルはすでに世界で最も高価なモデルたちと同じテーブルで食事ができるようになっている。
コストの論理が競争ルールを塗り替える
ここからが本当に注目すべき点だ。
Semgrepの評価レポートには、目立たないが重要な数字がある。GLM 5.2の入力価格は100万トークンあたり約1.20–1.40ドル、出力価格は100万トークンあたり4.10–4.40ドル。Claude Opus 4.8の価格はその約5〜7倍だ。つまり、同じ開発タスクをGLM 5.2で行えば、費用はClaudeの約6分の1で済む。
6分の1のコストで39% vs 32%の脆弱性検出率——これは「代替」などという生易しい話ではない。何をもって「割に合う」とするかの定義そのものが書き換えられている。
20ドルを使ったあの開発者は、決して例外ではない。Hacker Newsのスレッドには、API経由で毎月数千ドルを消費していることに気づいた別のユーザーが、サブスクリプションプランなら100ドルで済むのに、問題は——サブスクリプションでは自動化がロックされてしまうことだと指摘している。Anthropicはサブスクリプションプランでのバッチ処理を許可しておらず、APIでの従量課金を強制している。あるコメントは率直に言い放った。「要するに、お前らをあいつらのエコシステムに閉じ込めたいんだ。」
そしてGLM 5.2はオープンソースだ。自分でデプロイし、自分でファインチューニングし、インターネットから切り離された隔離環境でも実行できる。センシティブなデータを扱うセキュリティチームにとって、この事実の重みはベンチマークスコアそのものに劣らない。
「この一つのオープンソース」が追いついた
誤読を避けるために、筆者は明確にしておかなければならない。GLM 5.2はすべてのオープンソースモデルを代表しているわけではない。Semgrepの同じテストでは他にもいくつかのオープンソースモデルが走っている——MiniMax M3はF1スコア23%、Kimi K2.7 Codeは22%、DeepSeek V4は17%。GLM 5.2と2位のオープンソースモデルの間には16ポイントの差があり、この差はGLM 5.2とClaude Codeの差よりも大きい。
したがって結論は「オープンソース陣営が集団でクローズドを超えた」ではない。結論はこうだ。中国発のオープンソースモデルという道に、特定のセキュリティタスクにおいて世界で最も高価なモデルと互角に戦える選手が現れた。そしてそれははるかに安い。
Semgrepチーム自身の総括は極めて抑制的で誠実だ。彼らはこの評価がIDOR(不正アクセス脆弱性)という一種類の脆弱性のみをカバーしており、同一のベンチマーク、同一のデータセットで1回実施されたに過ぎないことを認めている。GLM 5.2はIDORではClaudeに勝ったが、SSRF(サーバーサイドリクエストフォージェリ)やインジェクション攻撃など他の種類ではどちらが強いか——わからない。まだテストしていない。彼らは明示的に「今後もテストを継続する」と述べている。
しかし、この限定的な証拠が発するシグナルは十分に大きい。中国の開発者が20ドルのコストで完全なAIアシスタントシステムを構築でき、中国オープンソースモデルの「コストパフォーマンス」という語りがベンチマーク表からリアルな開発体験へと降りてきたとき、「最も高価なモデルだけを使う」は、もはや思考停止で選べるデフォルトではなくなっている。
興味深い細部
智譜チームはGLM 5.2のリリースノートで、ある事実を自ら開示している。このモデルは訓練過程において、前バージョン(GLM 5.1)よりも多くの「報酬ハッキング(reward hacking)」行為を示したのだ。どういうことか。強化学習の訓練段階で、モデルはスコアを稼ぐために、保護された評価ファイルを盗み見たり、curlコマンドで解答をダウンロードしようとしたりした。
Semgrepの記事には、これに対する秀逸なコメントがある。「これは誠実な開示だ。しかし、もし君がセキュリティ攻防用のモデルを作っているなら……『評価システムすらハックしようとする』以上にハッカーらしい資質があるだろうか。」
この細部自体は、GLM 5.2が「不正の達人」であることを示すものではない——むしろ逆で、チームは事前にこの行動を発見し、専用の安全モジュールで遮断した。しかしこの事実が浮き彫りにするのは、AIのセキュリティ能力の発展速度が多くの人の予想を超えており、そしてそれはアメリカの研究施設だけの話ではないということだ。
この競争の次なる一手
Hacker Newsの議論には、もう一つ注目すべき声があった。いずれ米国商務省がこの種のオープンソース中国モデルに輸出規制をかけ、場合によってはHugging FaceやOpenRouterといったプラットフォームに中国モデルの取り下げを要求する可能性がある、というものだ。反対陣営はこう反論する。オープンソースモデルのウェイトファイルは、一度公開されれば不可逆的だ。攻撃者は法律を遵守しない。防御側だけが規制によって最良のツールを失う可能性がある。
この問いに標準解答はない。しかし一つ確かなことがある。モデルの能力が接近し、価格差が5〜7倍に開き、デプロイの自由度がまったく異なるとき、「最も高いものを買う」という判断には、もはや自然な合理性はない。これはAnthropicとOpenAIにとって、従来とは異なるプレッシャーだ。彼らのビジネスモデルは、オープンソース中国モデルのコストパフォーマンスを前に、自らの価値を再証明する必要に迫られている。
筆者は預言者ではない。2027年のAI競争の構図がどうなるかは誰にもわからない。しかし2026年6月のこの週末の実験が少なくとも教えてくれることはある。Hacker Newsで20ドルを投じて完全なAIアシスタントを組み上げたあの開発者は、例外ではない。彼は一つのシグナルに過ぎないのだ。
参考リンク:
-
Semgrepブログ:《We have Mythos at Home: GLM 5.2 beats Claude in our Cyber Benchmarks》
https://semgrep.dev/blog/2026/we-have-mythos-at-home-glm-52-beats-claude-in-our-cyber-benchmarks/ -
Hacker News 討論
https://news.ycombinator.com/item?id=48709670 -
LLM Stats:《GLM-5.2 vs Claude Opus 4.8: Full Comparison》
https://llm-stats.com/blog/research/glm-5-2-vs-claude-opus-4-8 -
OpenRouter:GLM 5.2 API 価格とベンチマーク
https://openrouter.ai/z-ai/glm-5.2 -
Eden AI:《GLM-5.2 Benchmark vs GPT-5.5, Claude Opus 4.8 and Gemini 3.1 Pro》
https://www.edenai.co/post/glm-5-2-benchmark-vs-gpt-5-5-claude-opus-4-8-and-gemini-3-1-pro -
Graphistry:《GLM 5.2 Open Model: Beats Sonnet, Matches Opus in Cyber Evals》
https://www.graphistry.com/blog/glm-5-2-cybersecurity-open-model
声明:本記事は公開情報に基づく整理・分析であり、いかなる投資または技術選定の助言を構成するものではない。言及されたすべての評価データはSemgrepの公開レポートおよび関連する第三者メディアに基づくものであり、GLM 5.2の異なるタスクにおける性能は評価条件により異なる可能性がある。