Z.ai가 공개한 GLM-5.2는 범용 AI 경쟁에서 Anthropic이나 OpenAI의 최상위 모델을 정면으로 넘었다는 이야기는 아니다. The Verge 보도 역시 GLM-5.2가 일반 작업 전반에서는 뒤처진다고 설명한다. 그런데 일부 연구자들이 버그 탐지와 사이버보안 시나리오에서 Mythos에 맞먹는 수준이라고 주장했다는 점은 따로 볼 필요가 있다.
사이버보안 영역에서는 모델이 모든 질문에 완벽히 답할 필요가 없다. 코드 속 의심스러운 패턴을 찾고, 취약점 후보를 반복적으로 좁히고, 사람이 검토할 만한 지점을 빠르게 제안할 수 있다면 이미 실무 워크플로에 들어갈 여지가 생긴다. GLM-5.2가 이런 좁은 영역에서 격차를 줄였다는 주장은 그래서 단순한 벤치마크 뉴스보다 더 민감하다.
특히 GLM-5.2가 open-weight라는 점이 중요하다. 다운로드해 직접 실행할 수 있고, 비교적 구하기 쉬운 하드웨어에서도 활용 가능하다는 설명은 연구자와 보안팀에게는 큰 장점이다. 외부 API 호출 없이 내부 코드베이스를 점검하거나, 반복적인 취약점 분석을 낮은 비용으로 돌릴 수 있기 때문이다.
하지만 같은 구조는 악용 가능성도 키운다. 클라우드 기반 모델은 접근 제한, 사용량 모니터링, 계정 차단 같은 통제 지점이 있다. 반면 로컬에서 돌아가는 오픈웨이트 모델은 누가 어떤 코드를 넣고 어떤 목적으로 결과를 쓰는지 확인하기 어렵다. 미국 정부가 Mythos나 Fable 같은 취약점 탐지형 모델과 관련 하드웨어 접근을 국가안보 이슈로 보는 배경도 여기에 있다.
이번 소식의 핵심은 중국 AI가 미국 AI를 따라잡았는지의 단순 비교가 아니다. 취약점을 찾는 능력이 더 넓게 배포될 때, 보안 자동화는 방어자와 공격자 모두에게 강력한 도구가 된다. 앞으로 기업과 정부가 준비해야 할 것은 모델 접근 차단만이 아니라, 로컬 실행 모델을 어떤 환경에서 쓰고, 어떤 로그를 남기며, 어떤 결과를 사람이 검증하게 할지에 대한 운영 안전장치다.