Gold Eagle wurde nach Angaben des Weißen Hauses von Finanzminister Scott Bessent in Abstimmung mit dem National Cyber Director Sean Cairncross geplant. Eingebunden waren zudem Verteidigungsminister Pete Hegseth über den Direktor der National Security Agency Joshua Rudd sowie Heimatschutzminister Markwayne Mullin über den kommissarischen CISA-Direktor Nick Andersen.
In der Startankündigung beschreibt die Regierung Gold Eagle als „Kraftverstärker“, der moderne KI-Fähigkeiten nutzen, schneller als Angreifer vorankommen, doppelte Scan-Aktivitäten vermeiden und priorisierte, umsetzbare Informationen zu Bedrohungen und Abhilfemaßnahmen sektorübergreifend liefern soll. Die Initiative habe bereits damit begonnen, gemeldete Schwachstellen aus verschiedenen Branchen und Sektoren aufzunehmen, zu priorisieren und Scan-Bestätigungen zu koordinieren.
Technisch baut Gold Eagle auf VINCE auf, der „Vulnerability Information and Coordination Environment“, die vom Software Engineering Institute der Carnegie Mellon University zusammen mit der US-Regierung entwickelt wurde. VINCE ist seit Langem die Plattform des Computer Emergency Response Team Coordination Center, CERT/CC, für Offenlegung und Koordination von Schwachstellen.
Trotz des Starts bleibt für Beobachter offen, was Gold Eagle am Ende konkret sein wird. Casey Ellis, Gründer von Bugcrowd und disclose.io, sagte, Gold Eagle sei „derzeit ein Koordinierungsprozess im Gewand eines technischen Systems“. Es handele sich um eine Clearingstelle: Schwachstellen würden entgegengenommen, mit KI vorsortiert und weitergereicht. Das sei ein Prozess und ein Organigramm, keine neue Infrastruktur, und die Veröffentlichung vermeide es sorgfältig, etwas anderes zu behaupten.
Katie Moussouris, Gründerin und CEO von Luta Security, hält die von Gold Eagle adressierte Lücke bei der sektorübergreifenden Schwachstellenkoordination für real. Gegenüber Dark Reading sagte sie, dass der Katalog Known Exploited Vulnerabilities (KEV), die National Vulnerability Database (NVD) und die Information Sharing and Analysis Centers (ISACs) keine sektorübergreifende Priorisierung leisten. Das eigentliche Nadelöhr sei nie gewesen, noch mehr Fehler zu kennen, sondern die Menschen und Prozesse zu haben, um sie zu priorisieren, zu beheben und Wiederholungen zu verhindern.
Moussouris verwies dabei auf CISA’s neue Vorgaben BOD 26-04 zur Priorisierung von Abhilfemaßnahmen. Die am 10. Juni eingeführten Kriterien berücksichtigen den KEV-Status, die öffentliche Erreichbarkeit eines Systems, die Möglichkeit automatisierter Ausnutzung und die technische Auswirkung. Sie betonte, dass die Priorisierung nach BOD 26-04 Fähigkeiten und Prozesse in jeder betroffenen Organisation voraussetze, weil zwei, möglicherweise sogar drei der vier Kriterien subjektiv und organisationsspezifisch seien.
Als Beispiel für bestehende Prozessschwächen auf Bundesebene nannte Moussouris den jüngsten CISA-Nachbericht zu offengelegten AWS-Schlüsseln, die sechs Monate lang in einem öffentlichen GitHub-Repository lagen. Auch Ellis hält die Grundannahme hinter Gold Eagle für richtig, zweifelt aber an der Ausgestaltung. Die Initiative werde bislang „in Verben, nicht in Substantiven“ beschrieben: koordinieren, priorisieren, entflechten, konsequent patchen. Entscheidend sei jedoch, wer das tue, auf welcher Rechtsgrundlage, mit welchem Schutz für die Daten und wie das Vorhaben finanziert werde.
Rik Turner, leitender Cybersicherheitsanalyst bei Omdia, erwartet eine positive Reaktion von Betreibern kritischer Infrastrukturen und Softwareanbietern auf den Versuch, die Antwort auf eine drohende „Schwachstellen-Apokalypse“ zu straffen. Glasswing habe gezeigt, dass eine zentrale Stelle für die internationale Koordination einer durch Mythos ermöglichten Schwachstellenflut nötig sei; mit der Rückendeckung der US-Regierung gewinne ein solches Gebilde zunächst an Gewicht. Zugleich verwies Turner auf das politisch stark polarisierte Umfeld in den USA, in dem Maßnahmen aus dem Weißen Haus auch mit Misstrauen betrachtet würden.
Sounil Yu, Chief AI Officer bei Knostic, sieht den größten Nutzen staatlicher „modernen KI-Fähigkeiten“ in der Beschleunigung der Umsetzung von Patches. Nicht das Auffinden von Schwachstellen oder sogar eines Fixes sei traditionell die engste Stelle gewesen, sondern das Einspielen der Korrektur dort, wo die Software tatsächlich eingesetzt werde, und die anschließende Rezertifizierung, dass alles wie erwartet funktioniere. Ähnlich argumentierte Sachin Jade, Chief Product Officer bei Cyware: KI-Werkzeuge könnten Schwachstellen schneller sichtbar machen, als heute darauf reagiert werden könne; zugleich gebe es Verzögerungen bei der Prüfung, welche Funde real sind, bei der Priorisierung und bei Entwicklung und Ausrollung eines Fixes.
