Für Izrael ist KI die neue Perimeter-Grenze. Sie verändere sowohl den Umfang der Angriffsfläche als auch die Skalierung agentischer Angriffe; diese Angriffsfläche erstrecke sich über Assets, Identitäten und Entscheidungskontext. Sowohl Unternehmens-KI-Agenten als auch KI-generierter Code seien Risikoquellen.
Als Beispiel nennt er OpenClaw: Der agentische Assistent sei im Februar 2026 so populär geworden, dass sein Entwickler von OpenAI abgeworben wurde. Frühe Anwender könnten in Unternehmensumgebungen ein Schatten-KI-Risiko darstellen, dienten aber zugleich als Machbarkeitsnachweis für das agentische Unternehmen.
Dieses agentische Unternehmen sei jedoch ein Sicherheitsalbtraum. KI mit allem zu verbinden, schaffe ein flaches Netzwerk, das den seit Jahrzehnten propagierten Prinzipien von Segmentierung und Isolation widerspreche. Ein Risiko sei, dass KI-Agenten zwar autonom Aufgaben ausführen und Entscheidungen treffen könnten, ihnen aber das Urteilsvermögen fehle, sich oder ihr Unternehmen nicht zu schädigen. Es gebe zahlreiche Beispiele für KI-verursachte Ausfälle und Datenlecks, weshalb Organisationen Leitplanken einziehen müssten.
Hinzu komme, dass Angreifer KI selbst ins Visier nehmen. Durch Datenvergiftung („Model Poisoning“) lasse sich die grundlegende Logik von Modellen über manipulierte Trainingsdaten verfälschen; Umgehungsangriffe hebelten defensive Entscheidungsalgorithmen aus. Autonome Systeme erzeugten zudem blinde Flecken, und KI-gestützte Angriffe lernten kontinuierlich aus ihren Fehlversuchen.
Izrael verweist auf Schätzungen, wonach das Verhältnis von Menschen zu Agenten in den kommenden Jahren auf 1:100 oder mehr steigen werde. Ein typisches Großunternehmen mit 10.000 Beschäftigten hätte es dann mit einer Million oder mehr Agenten zu tun – der Einwohnerzahl einer Großstadt. Organisationen sollten das agentische Unternehmen entsprechend wie eine Metropole steuern: mit Infrastruktur, proaktiven Richtlinien und Kontrollmechanismen.
Beim Thema Erkennung beruft sich Izrael auf den Bericht „2026 State of Cyberwarfare“ von Armis: 43 Prozent der Befragten gaben demnach an, dass ihre Organisation schwerwiegende Angriffe erst während oder nach deren Eintreten erkennt und darauf reagiert. Die Branche optimiere auf Erkennung, Angreifer hingegen auf Vermeidung – Alarme allein änderten am Ergebnis nichts.
Entscheidend sei die Anpassungsgeschwindigkeit auf beiden Seiten, und derzeit lägen die Chancen bei den Angreifern. Früher hätten diese nach Offenlegung einer Schwachstelle eine Woche für einen Exploit gebraucht; mittlerweile gelinge das in Minuten, indem agentische Programmierplattformen als Waffe genutzt würden. Ironischerweise seien viele Sicherheitslösungen, die einst für Altsysteme entwickelt wurden, heute selbst zu Altlasten geworden: Statische Regeln, periodische Bewertungen, Alarmierung und Prozesse mit menschlicher Beteiligung seien überholt.
Daraus leitet Izrael einen Paradigmenwechsel von Mensch-gegen-Mensch zu KI-gegen-KI ab. Sicherheitsteams müssten von reaktiver Erkennung zu vorbeugendem Schutz übergehen und von losen Werkzeugen sowie Ad-hoc-Prozessen zu einheitlichen Plattformen mit autonomem Handeln. Als Mindestanforderung nennt er dynamische Bedrohungsjagd, kontinuierliches Monitoring und proaktives Exposure-Management. Verteidiger hätten dabei einen Vorteil: Sie wüssten, was für ihr Geschäft am wichtigsten sei – und könnten die Asymmetrie der Angriffsgeschwindigkeit durch agentische Cybersicherheit ausgleichen.
