Nach eigener Darstellung indexiert Sweet Security seit dem ersten Tag Laufzeitdaten direkt aus den Umgebungen seiner Kunden: Laufzeit-Topologie, unverschlüsselte Layer-7-Exposition, eingesetzten Quellcode, Identitätspfade und das Verhalten laufender Anwendungen. Dieser Index sei die Grundlage, über die der Agent argumentiere. Ein Frontier-Modell könne allein nur Hypothesen über eine Umgebung aufstellen; Sweet Attack hingegen kenne die Umgebung.
Weil Sweet diesen Kontext automatisch bereitstellt und pflegt, muss der Agent laut Hersteller die Angriffspfade nicht erraten. Er sehe „die meistbefahrenen Wege, wo das Wasser tatsächlich fließt" – keine theoretischen Pfade ohne Datengrundlage. Eine Heuristik steuere, welche Optionen und Routen sich überhaupt lohnen. Da dies eine Maschine fortlaufend und in Maschinengeschwindigkeit erledige, entfalle das Warten auf die nächste geplante menschliche Red-Team-Operation samt der Risiken durch Müdigkeit, Stress oder Unaufmerksamkeit.
„Andere Werkzeuge zählen jeden möglichen Pfad auf. Sweet Attack findet die, die ein Angreifer tatsächlich nehmen würde", sagte Yigael Berger, Chief AI Officer bei Sweet Security, gegenüber SecurityWeek – „weil es über die reale Umgebung nachdenkt, nicht über ein Modell davon."
Zu dieser realen Umgebung zählt laut Sweet auch Schatten-IT und Schatten-KI, die dem menschlichen Red Team unbekannt sein können. Sweet Attack erkenne Laufzeit-Assets und Verhaltensweisen, die nicht formal dokumentiert sind – darunter Schatten-KI-Komponenten, KI-Agenten, MCP-Server, Werkzeuge, Pakete, APIs und weitere Infrastrukturelemente, einschließlich seiner selbst. Sobald ein neues Element in der Laufzeitumgebung auftauche – etwa eine von DevOps eingeführte neue App oder eine von einem Mitarbeiter heruntergeladene SaaS-Anwendung –, bewerte das System die möglichen Angriffspfade neu.
Aus dem Wissen, welche Schwachstellen über erreichbare Angriffspfade tatsächlich ausnutzbar sind, ergibt sich ein Zeitplan für die Behebung. Belanglose Schwachstellen können zurückgestellt werden, da sie fortlaufend neu bewertet werden, sobald neue Infrastruktur neue Angriffspfade schafft.
Ein Betatester, der CISO von Cast & Crew, berichtete, seine Umgebung habe jährlich externe Red-Teamer beschäftigt – stets mit einwandfreien Berichten. „Sweet Attack lief drei Tage und legte voll ausnutzbare Angriffsketten offen, an die diese Einsätze nie herangekommen sind." Darüber hinaus habe Sweet Attack einen konkreten Maßnahmenplan zur Eindämmung und Behebung geliefert, mit dem das Unternehmen innerhalb von zwei Stunden vollständig abgesichert gewesen sei.
Sweet Attack ist ab sofort für Kunden von Sweet Security verfügbar.