Anthropic lud im April mehr als 50 Organisationen zu seinem Project-Glasswing-Programm ein, um Claude Mythos vorab zu testen. Das Unternehmen bezeichnete das Modell damals als die fortschrittlichste KI für Cybersicherheit. Kurz darauf folgte OpenAI mit dem Daybreak-Programm für GPT-5.5.

In diesen Programmen nutzen Red Teams die Modelle, um die eigenen Unternehmenssysteme anzugreifen, während Blue Teams die Erkennung und Abwehr dieser Angriffe erproben. Eine Schlüsselrolle übernehmen dabei „Yellow Teams“, ein Begriff, der laut dem Bericht erstmals auf der Black Hat 2017 eingeführt wurde, um Entwickler stärker in Sicherheitstests einzubinden.

Sam Curry, CISO von Zscaler und Partner bei Glasswing, beschreibt Yellow Teams als Build-Teams. Sie sollen einerseits Red Teams die Werkzeuge bereitstellen, mit denen sich Angriffe verbessern lassen, und andererseits Blue Teams unterstützen, indem sie Verteidigungsfunktionen entwickeln, die Hersteller noch nicht liefern.

Dass Yellow Teams inzwischen verstärkt auch für Red Teams bauen, zeigt das Beispiel Netskope. CISO James Robinson berichtet, er sei zunächst überrascht gewesen, dass Mythos nicht per Mausklick nutzbare Ergebnisse lieferte. Das Modell meldete zwar Schwachstellen, ließ aber mitunter für menschliche Penetrationstester offensichtlichen Kontext aus. So kennzeichnete es einen Endpunkt als nicht authentifiziert, berücksichtigte aber nicht, dass dieser interne Endpunkt aus dem Web gar nicht erreichbar und absichtlich exponiert war.

Netskope hatte kurz vor Glasswing bereits an Daybreak teilgenommen und dafür mit Project Red Horizon ein kleines Yellow Team aufgebaut. Dessen Aufgabe war es, für GPT-5.5 ein sogenanntes „Harness“ zu entwickeln. Gemeint ist eine Softwarehülle um ein KI-Modell, die festlegt, was das Modell tun darf, welche Berechtigungen es hat und welche Richtlinien und Schutzplanken gelten.

Robinson zufolge ist genau dieses Harness der entscheidende Schritt für wirksame KI-gestützte Schwachstellensuche. Gleichzeitig sei der Aufbau aufwendig. Selbst mit einem Harness habe GPT-5.5 anfangs eine große Zahl von Funden produziert, viele davon jedoch falsch positiv, weil der Kontext nicht korrekt eingerichtet gewesen sei.

Wie unterschiedlich Unternehmen diese Einbettung umsetzen, zeigen mehrere Beispiele. Cisco, ebenfalls Glasswing-Partner, hat sein Harness als Foundry Security Spec als Open Source veröffentlicht. Es arbeitet mit einer detaillierten „Verfassung“ für das Modell und setzt KI-Agenten für 13 verschiedene Rollen ein, von der Orchestrierung über Erkennung und Triage bis zur Fehlerberichterstattung, mit rund 130 Unteranforderungen. Microsofts MDASH nutzt nach Angaben des Berichts mehr als 100 spezialisierte Agenten, die in einem fünfstufigen Ausführungszyklus eigenständig Fehler suchen. Bei Cloudflare folgen die Agenten einem achtstufigen Verfahren.

Omar Santos, Distinguished Engineer für AI Security Engineering bei Cisco, teilt den Einsatz seines Teams in drei Modi auf. Teilweise speist das Red Team das eingebettete Modell mit Ergebnissen früherer statischer Analysen und lässt daraus Exploits für Live-Systeme erzeugen. Auf der nächsten Stufe kommen Produktdokumentation, frühere Fehler aus anderen Advisories und über Jahre erlernte Exploitationstechniken hinzu, um Schwachstellenketten zu bilden und Analysen nach der Kompromittierung durchzuführen. Im dritten Modus analysiert das Team Binärdateien und ahmt einen Angriff ohne Software in der Maschinenumgebung nach.

Laut Bericht haben Organisationen durch den wirksamen Einsatz von Mythos und GPT-5.5 Tausende Schwachstellen gefunden, darunter teils jahrzehntealte Lücken in Kerntechnologien und komplexe Exploit-Ketten. Für Blue Teams bedeutet das laut Levi Bolourie, Corporate CISO bei Zscaler, dass sie KI ebenfalls für Analyse nutzen müssen, weil sie sonst von Signalen und Ereignissen überrollt würden. Deshalb müssten Blue und Yellow deutlich enger zusammenarbeiten.

Bei Netskope werden Entwickler nach Robinsons Angaben inzwischen direkt in den Patch-Prozess des Blue Teams eingebunden. Red- und Blue-Team-Mitglieder schulen die Yellow Teams dabei gegenseitig und besprechen, wie sich mit Funden aus Mythos schneller patchen lässt.

Darüber hinaus geht es laut Bolourie nicht nur darum, einzelne Probleme einmalig zu beheben. Yellow Teams integrieren die Modelle und ihre Erkenntnisse auch direkt in den Software Development Life Cycle, um Arbeitsweisen zu verändern, Risiken zu senken und wiederkehrende Schwachstellen zu vermeiden. Cisco setzt dafür auf ein weitgehend automatisiertes Modell, in dem die Foundry Security Spec mit dem Open-Source-Framework CodeGuard für sicheres KI-Coding gekoppelt wird: Das Verteidigungswerkzeug liefert seine Wissensbasis an das Angriffswerkzeug, und neue Erkenntnisse aus der Angriffsperspektive fließen zurück in die Abwehr.

Netskope organisiert diesen Kreislauf nach Robinsons Darstellung mit Menschen statt Automatisierung. Während Daybreak habe das Unternehmen tägliche Abstimmungsrunden eingeführt, in denen Yellow- und Red-Team-Mitglieder ihre Nutzung der Modelle, neue Erkenntnisse und Beobachtungen gemeinsam dokumentierten.