Thompson beschreibt seinen Einstieg in die Szene als alles andere als geradlinig. Nach eigener Darstellung begann sein Interesse am Hacken in der Schulzeit, zunächst aus dem Wunsch heraus, gesperrte Software wie Photoshop oder Programme für DJ- und Sound-Mixing nutzen zu können. Daraus wurden nach seinen Worten schnell Spiel-Hacks und Angriffe auf Spiel- und Multiplayer-Server.
Mit 17 habe er dann entschieden, nicht mehr nur Schwachstellen auszunutzen, sondern Betreibern zu helfen, ihre Systeme widerstandsfähiger zu machen. Über Kontakte zu EA erhielt er nach eigenen Angaben erste Aufträge, Server und weitere Infrastruktur abzusichern. Später seien auch News Corporation und andere frühe Kunden hinzugekommen. Mit 18 gründete er schließlich seine eigene Firma für Sicherheitstests und arbeitete für dieselben Spieleunternehmen, die er zuvor angegriffen hatte.
Seinen Schritt in die legale Offensiv-Sicherheit begründet Thompson weniger mit einem moralischen Erweckungsmoment als mit einem praktischen Motiv: Er habe das Reisen mit seiner Freundin fortsetzen und daraus eine Karriere mit Freiheit machen wollen. Red Teaming sei für ihn die Möglichkeit gewesen, Systeme legal zu brechen, damit sie besser wieder aufgebaut werden können. Den Verkauf gefundener Schwachstellen oder Exploits im Darknet schließt er für sich aus. Stattdessen verweist er auf Broker-Modelle und Bug-Bounty-Programme, die aus seiner Sicht solche Anreize verringern.
Zugleich plädiert er dafür, diese Modelle auszuweiten. Derzeit, so Thompson, konzentriere sich das stark auf Zero-Days. Er würde es begrüßen, wenn auch neuartige Malware-Fähigkeiten und Techniken vergütet würden, etwa neue Wege zur Umgehung von CDR oder für laterale Bewegung zwischen Systemen. Dann würden Fähigkeiten, die heute frei im Internet veröffentlicht werden, eher monetarisiert als verschenkt.
Formale Ausbildung misst Thompson nur begrenzte Bedeutung bei. Zwar absolvierte er auf Anraten eines Freundes ein Studium der Informationssysteme am Southern Alberta Institute of Technology, doch dieses sei eher eine nachträgliche Legitimierung seiner bereits vorhandenen Fähigkeiten gewesen. Nach dem College gründete er nach eigener Darstellung umgehend ein neues Pentesting-Unternehmen.
Dementsprechend habe er auch bei IBM X-Force Red nicht auf akademische Abschlüsse geachtet, sondern auf nachweisbare Fähigkeiten, Forschung, Teamarbeit und Fachwissen. Heute sitzt Thompson im Black Hat Review Board und sagt, dort viele starke Einreichungen von Menschen zu sehen, die nie eine Universität oder Hochschule besucht hätten.
Auch über Neurodivergenz spricht Thompson offen. Er sagt, er habe „auf jeden Fall ADHS“ und sehe darin in der Branche eher eine Stärke. Viele neurodivergente Menschen nähmen Herausforderungen anders an und prüften Systeme mit besonderer Gründlichkeit. Das führe oft zu einem tieferen technischen Verständnis.
Neben seiner IBM-Rolle hatte Thompson nach dem Bericht mehrere Nebentätigkeiten, darunter als Operator für vertragliche CNE-Operationen sowie Beratung zu elektronischer Kriegsführung und lawful intercept für eine nicht benannte Organisation, wofür eine NATO-Secret-Freigabe nötig gewesen sei. Außerdem war er Projektsponsor für das MITRE Center for Threat Informed Defense und Vorstandsmitglied bei CREST.
Besonders deutlich wird seine Haltung beim Thema künstliche Intelligenz. Thompson sieht in offensiver KI zugleich Chance und Risiko. Menschen ohne ausgeprägte Hacker-Fähigkeiten könnten mit Chat-Eingaben Malware oder offensive Werkzeuge erzeugen und Agenten Aufgaben übernehmen lassen, die sie selbst nicht beherrschen. Das erhöhe Tempo und Menge bösartiger Angriffe ebenso wie die Zahl auffindbarer Schwachstellen.
Für erfahrene Red Teamer beschleunige KI vor allem Routinearbeit. Thompson nennt etwa Domänendatenanalyse und Zielaufklärung. Gute Angreifer und gute Verteidiger könnten damit schneller Werkzeuge entwickeln, Schwachstellen finden, sie schneller bewaffnen und auch schneller beheben. KI sei damit weniger ein Ersatz für Können als ein Verstärker für vorhandene Fähigkeiten.
Aus seiner Sicht verschärft das die strategische Lage. Thompson verweist auf den Fachkräftemangel in der Branche und auf die Notwendigkeit, schneller zu arbeiten als bisher. Wenn Angreifer und Nationalstaaten KI nutzten, um Schwachstellen rascher zu finden, zu bewaffnen und auszunutzen, müsse die Verteidigung dasselbe tun, um diese Schwachstellen schneller zu finden und zu patchen. Andernfalls gerate man bei einem größeren Konflikt in eine sehr schwierige Lage. Vor diesem Hintergrund sei offensive Sicherheit ein Grundpfeiler der Cyber-Abschreckung, und der Einsatz von KI in der Cyberabwehr keine Option mehr, sondern eine Notwendigkeit.