Nach Angaben des Weißen Hauses ist „Gold Eagle“ das operative Instrument für die in Executive Order 14409 geforderte KI-gestützte zentrale Stelle zur Identifikation und Behebung von Software-Schwachstellen. Die Anordnung verlangte einen solchen Mechanismus ausdrücklich, nun soll das Programm diese Vorgabe in die Praxis umsetzen.
Das Weiße Haus erklärte, „Gold Eagle“ habe bereits damit begonnen, Schwachstellenmeldungen „aus Branchen und Sektoren“ entgegenzunehmen und zu triagieren sowie die Verifizierung von Scans zu koordinieren. Offen blieb dabei, welche Unternehmen teilnehmen, welche KI-Modelle eingesetzt werden und nach welchen Kriterien Schwachstellen priorisiert werden.
An dem Vorhaben sind CISA, das Finanzministerium und das Department of War beteiligt; hinzu kommen Partner aus dem Privatsektor. Der Ansatz soll insbesondere vermeiden, dass Behörden und Unternehmen dieselben Schwachstellen mehrfach scannen. Stattdessen sollen priorisierte und praktisch verwertbare Handlungsempfehlungen zur Behebung an Verteidiger in Regierung und Industrie weitergeleitet werden.
Kriegsminister Pete Hegseth ordnete das Programm politisch deutlich ein. Unter der Führung von Präsident Trump bringe die Regierung den Cyberbereich „auf Kriegsfuß“, um Schwachstellen mit Nachdruck zu schließen, sagte er. „Gold Eagle“ diene als Vorhut der amerikanischen Cyberverteidigung. Dabei nutze man moderne KI zusammen mit führenden amerikanischen Innovatoren, um kritische Infrastruktur zu schützen.
Der Start von „Gold Eagle“ folgt auf eine weitere Entscheidung der Trump-Regierung im Bereich KI und Cybersicherheit. Die Regierung hatte Beschränkungen für die neuesten KI-Modelle von Anthropic aufgehoben, die zuvor mit Cybersicherheitsbedenken begründet worden waren.
Kurz nach dem Ende dieser Beschränkungen tauchten Berichte auf, wonach CISA Anthropic Mythos einsetzt, um Regierungssoftware auf Schwachstellen zu scannen und zu prüfen. Ob und in welchem Umfang dieses Modell auch bei „Gold Eagle“ verwendet wird, geht aus der Ankündigung des Weißen Hauses nicht hervor.
Damit ist bislang vor allem klar, welche Behörden beteiligt sind und welches Ziel verfolgt wird: eine zentralere, KI-gestützte Koordination für Schwachstellen in kritischer Infrastruktur. Nicht genannt wurden dagegen konkrete Teilnehmer aus der Wirtschaft, die verwendeten Modelle oder das Verfahren, nach dem Meldungen priorisiert werden.
