Der Quelltext zeichnet ein Bild moderner Sicherheitsumgebungen als Sammlung spezialisierter Werkzeuge: hier eine Plattform für Bedrohungsinformationen, dort ein Schwachstellenscanner, zusätzlich ein BAS-Werkzeug für die Simulation von Angriffen und Sicherheitsverletzungen sowie ein SIEM, das alles zusammenführen soll. Jedes dieser Systeme liefere Daten, doch keines schließe den Kreislauf. Bis Informationen korreliert, Risiken priorisiert, Validierungen durchgeführt und Maßnahmen in Tickets umgesetzt seien, habe sich ein Angreifer oft bereits weiterbewegt. Das eigentliche Nadelöhr sei deshalb nicht ein einzelnes Produkt, sondern der Leerraum zwischen den Systemen.

Vor diesem Hintergrund grenzt der Text allgemeine KI-Assistenten von sogenannter agentischer KI ab. Ein herkömmlicher Assistent warte auf Eingaben, fasse Inhalte zusammen, übersetze oder rufe Informationen ab. Damit würden Analysten zwar schneller, arbeiteten aber im Kern weiter wie bisher. Agentische KI hingegen handle selbstständig: Sie erfasse den Kontext, setze eigenständig Prioritäten und führe mehrstufige Abläufe systemübergreifend aus – nicht als einmalige Anfrage, sondern fortlaufend im Hintergrund und mit Maschinengeschwindigkeit.

Diese Unterscheidung sei laut Quelltext entscheidend, weil sich auch die Bedrohungslage zunehmend mit Maschinengeschwindigkeit entwickle. Mit den schnellen Fortschritten bei modernen KI-Modellen verkürzten sich die Zeitspannen zwischen Entdeckung und Ausnutzung deutlich. Teams, die vorausblieben, würden deshalb nicht zwingend die meisten Analysten haben, sondern eine KI-Infrastruktur, die dieses Tempo autonom mitgehen könne.

Speziell für CTEM bedeutet das dem Text zufolge, dass drei Funktionen nicht länger als getrennte Arbeitsabläufe behandelt werden dürfen. Wenn diese Funktionen in einem geschlossenen Kreislauf arbeiten und KI-Agenten Informationen und Entscheidungen ohne menschliche Übergaben dazwischen weiterreichen, werde CTEM von einem Rahmenwerk auf Präsentationsfolien zu einer operativen Realität.

Als Voraussetzung nennt der Quelltext eine eigene Orchestrierungsebene für KI. Diese solle als grundlegende Kontextschicht mit miteinander verbundenen Agenten dienen. Statt dass Analysten Bedrohungsinformationen manuell mit der Validierung von Exponierungen verknüpfen, übernähmen Agenten diese Aufgaben fortlaufend und im passenden Kontext. Der gesamte Ablauf werde autonom organisiert, wobei Agenten Aufgaben untereinander und über verschiedene Produkte hinweg weitergeben. Die letzte Entscheidung bleibe jedoch beim Menschen. Analysten würden so zu Orchestratoren informationsgetriebener Maßnahmen.

Der Text argumentiert zudem, dass Teams, die diese Fähigkeiten jetzt aufbauen, nicht auf ein perfektes Werkzeugset warten. Sie würden zuerst ein Betriebsmodell schaffen und die Architektur nachziehen lassen. Daraus entstehe mit der Zeit ein struktureller Vorteil durch bessere Daten, bessere Analysen, bessere Belege und besser abgestimmte KI. Allgemeine große Sprachmodelle reichten dafür laut Quelltext nicht aus; erforderlich seien Kontext und produktbezogenes Know-how.

Als Beispiel verweist der Text auf den XTM One CTEM Assistant. Filigran kündigt zudem eine Live-Sitzung an, in der gezeigt werden soll, wie Sicherheitsteams agentische KI nutzen, um Bedrohungsinformationen, Expositionsvalidierung und Reaktion in einem einzigen kontinuierlichen Arbeitsablauf zu verbinden – ohne die Übergabelücken, die einzelne Schritte verlangsamen.