[EN] The AI Cookbook show: Okay Leute, stellt euch mal vor, ihr IT-Manager da draußen, stellt euch mal vor, ihr kommt rein ins Büro, okay, und dann sagt der Security Head oder Head of Security, wie immer man ihn nennen will, du weißt du was? Wir haben gerade 22 kritische Schwachstellen in unserem Code gefunden. Oh wow, okay, gut. Und 14 davon sind High Severity. Also High Severity ist richtig, richtig böse. Da hast du ein Problem, okay? Jetzt natürlich als IT-Manager wirst du sagen, sehr gut, wer hat die denn gefunden? Welches Team? Welche Experte? Und die Antwort ist, kein Experte. Eine KI hat das gemacht. In zwei Wochen, ohne Kaffee, ohne Überstunden, ohne ein einziges Gespräch mit den Leuten, die diesen Code geschrieben haben. Jetzt könntet ihr sagen, aha, das ist eine Hypothese, das ist nett. Nein, das ist diese Woche passiert bei Anthropic. Ihr wisst, Anthropic ist die Firma Hinterklot. Die hat ihre KI auf nicht irgendeine Vibe-Code der Software draus gelassen, sondern auf Firefox. Es ist einer der best getesteten Browsers auf der Welt. und Claude hat 22 CVEs gefunden und noch ein paar zusätzliche Bugs. 90 zusätzliche Bugs. Und alle diese Bugs wurden gefixt auf Version 148. Und Version 148 wurde jetzt geschippt an hunderte Millionen von Users. Also was heißt das? Was? Hier ist eine große, große Änderung, die gerade stattfindet. Was heißt das für CrowdStrike zum Beispiel? Was heißt das für Zscaler? Und was heißt das für eure eigene Security-Abteilung, die noch nicht mal Cloud Code nutzt? Und das schauen wir uns an. Also ja Leute, Action, let's go! Okay, also willkommen zum KI Kochbuch für die, die uns noch nicht kennen. Warum sagen wir das jetzt, obwohl ihr uns schon seit so lange hört? Es gibt neue Leute, also... Wir merken das anhand der Userzahlen, der Leute, zuhören. Jetzt könnt ihr bitte eine Sache für mich machen. Klickt bitte auf Follow und Like. Zum Beispiel, wenn ihr auf Spotify drückt, dann Follow the Channel. Oder auf YouTube, gebt uns ein Like und das hilft uns ein bisschen. Und für ... Apart von das Abonnieren, das ist jetzt zwei Sekunden, mein Team hat mir gesagt, muss euch das sagen, sonst krieg ich Probleme. Also, jetzt fangen wir mal an. Diese Woche sind zwei Sachen passiert, die diese Security-Branche ein bisschen auf den Kopf stellen. Das Erste ist, es ist nicht irgendeine Konferenz oder irgendein Paper, das rausgekommen ist, sondern ganz konkret wurden Sachen mit der KI gemacht, die vor ein, zwei, drei Monaten nicht möglich waren. Das Erste ist eben, was wir gerade besprochen haben. Claude wurde auf Firefox losgelassen. und hat 22 Schwachstellen gefunden. Und warum ist das sehr interessant, eben das auf Firefox zu machen? Weil Firefox ist ja einer der Open Source Projekte, einer der sichersten Open Source Projekte auf der ganzen Welt. Und Nummer zwei, Open AI, also ChachiPT, hat gestern am 7. März Codex Security gelounged. Und Codex Security ist wiederum sehr ähnlich. Es ist ein KI Agent, der eure Codebases scannt, der verbringt Zeit auf eure Codebases, ⁓ Schwachstellen zu finden. Und das für die Leute, es nicht verstehen, wenn man eine Schwachstelle findet, kann man natürlich sofort einen Patch bauen. Und das ist genau, was Security macht. Also Codec Security von Chatchipetit findet die Security, Schwachstellen, und dann schreibt es gleich den Patch. Jetzt. Leute, das sind Jobs. Es gibt Leute, die dafür bezahlt werden. Und bei so open-source-Projekten, bei Firefox, Leute, da arbeiten Hunderte, wenn nicht Tausende von Leuten drauf. Und irgendwie ist kein Schwein draufgekommen, diese 22 Schwachstellen plus 90 kleinere Fehler zu finden. Und warum? Weil diese autonome Agenten, by the way, die haben schon einen Namen. Die heißen Security Researcher. Die arbeiten rund ⁓ die Uhr. Nicht wie eure Programmierer. Die brauchen keine Pause. Und die finden Codes überall in OpenSSH, aber auch in Chromium. Und das ist verrückt, weil diese Code wurde ja schon seit Jahren von den besten Entwicklern der Welt auditiert. Okay, hier geht es nicht darum, dass man einfach eine KI hat, Bugs findet, sondern es ist fundamental etwas anderes, okay? Also fangen wir mal mit Anthropic an. Anthropic, haben etwas, nennt sich Frontier Red Team. Frontier Red Team ist ihre interne Sicherheitsforschungsgruppe und die haben sie eben auf Mozilla, also auf Firefox, losgelassen. Firefox ist ebenso interessant nicht nur wegen den Gründen die wir gerade angesprochen haben aber es ist auch ein Produkt das seit 20 Jahre existiert und viele viele Leute nutzen das also hunderte von Millionen von Leuten nutzen Firefox. Jetzt es ist als ob du den besten Schlossknacker der Welt irgendwie in ein Hochsicherheitsgefängnis schickst und sagst du Ich meine, das ist gebaut. Das ist ein Hochsicherheitsgefängnis. Da kommen die Leute nicht rein und raus, okay? Und dann geht so ein Schlossknacker rein und sagt, 22 Schlösser könnte ich ohne Probleme aufmachen. Und 14 davon sind irgendwie in den Räumen, wo kein Schwein reinkommen sollte. Und 90 andere Schlüssel sind irgendwo auch hier rumgelegen. Da hast du ein Problem. Nicht du hast ein Problem, sondern ... Alle Personen, da mitgemacht haben, ⁓ dieses Gefängnis aufzubauen, die Leute, es geplant haben, die Leute, die drinnen arbeiten, ganze, sagen wir mal, das ganze Ensemble auf einmal wird in Frage gestellt. Warte, wie geht das? Wie geht das, dass ein Schlossknacker durchgehen kann und alle diese Probleme finden kann? Und Es ist nicht nur, wir wissen jedes Mal, ein Feature rauskommt von Anthropic ist ChartGPT gleich dahinter oder rum und rundherum, sondern Codex Security von ChartGPT nutzt eine KI, die nennt sich GPT 5.4. Wenn ihr euch das anhört, weiß ich nicht schon, ob diese Episode von GPT 5.4 aus ist oder ob die erste in ein, zwei Tagen rauskommt. Aber wir haben quasi eine ganze Episode über GPT 5.4, das neueste Modell von ChartGPT gemacht. ⁓ euch zu erklären, wie anders dieses Modell ist. Also dieses Modell ist relativ neu und relativ anders. Okay. Jetzt, warum sind das nicht... Warum sind das jetzt neue Tools, okay? Und warum? Warum ist das ein Problem für die ganze Branche? Okay, also... Bis jetzt haben Security Teams, das ist nicht so wichtig, das ist, aber das nennt sich SAST-Tools oder DAST-Tools, Das sind so Static Analysis, Dynamic Analysis. Ist nicht so wichtig, was das ist. Aber das sind so ganz primitive, neandertale Tools, die aber sehr gut funktionieren. Die scannen den Code und die spucken Warnungen raus. Das Problem mit diesen Tools ist, dass die wirklich bescheuert sind. jeder, der in Security arbeitet, weiß, wovon Malcolm redet. Weil der schaut dir zum Beispiel deine Bankkonten an, deine Bankkontodetails. Und dann sagt er, oh Malcolm, da hast du ein Problem und da und da und da. Und dann schaust du überall rein, es spuckt 500 Warnungen raus und du merkst 490 sind eigentlich falsch. Und jeder Entwicklerteam hasst diese Tools, weil sie müssen diese Tools nutzen, weil das Standardprozedere sind. Aber irgendwie machen diese Tools Lärm oder Sound in einem Alarm, wenn es nicht wirklich ein echtes Problem gibt. Okay. Und dann, wenn es ein Problem gibt, musst du durch 500 potentielle Probleme durchgehen. Und dann merkst du, die alle falsch. Und dann findest du ein richtiges Problem. Und dann musst du diesen Bug erst mal, du musst beweisen, dass es ein Bug ist. Und dann musst du den Fix schreiben. So was kann vielleicht zwei Wochen dauern. Okay? Also, das geht nicht automatisch, ja? Jetzt. Und man muss Tickets aufmachen. Und Leute, es ist verrückt. Wenn so was passiert ist, dann dauert's natürlich lang und es ist verrückt. Ihr stellt euch mal vor, Codex Security nimmt all das weg. Bei Codex Security macht es von End to End. Codex Security startest du am Freitag, gehst weg. Es verbringt ein Tag, zwei Tage, eine Woche, zwei Wochen, ⁓ durch deine ganze Codebase durchzugehen. Wenn es einen Fehler findet, validiert es den Fehler. Dann schreibt es auch noch einen Fix. Das heißt, du kannst dann in der Früh kommen, Und du kannst dann sagen, ja, das sind die fünf Fehler, wir gefunden haben. Vier von denen bin ich mir sicher und drei von denen habe ich dir schon einen Fix geschrieben. Und warum ist das heute noch wichtiger als vor einem Jahr? Weil CrowdStrike, CrowdStrike, die haben so ein Report rausgebracht, das nennt sich den Global Threat Report. Die sagen, ein Angreifer braucht circa 29 Minuten um sich in eurem Netzwerk auszubreiten. 29 Minuten. Leute, 29 Minuten ist die Zeit, wo eure ITler rausgeht, einen Kaffee trinkt, eine raucht und zurückkommt und BUMZACK ist der Angreifer drinnen. Das heißt, das Security Team, das ihr heute habt, auch wenn die sehr viel Geld ausgeben für Tools, ist es noch immer zu langsam. Weil auch diese coolen Tools, wofür ihr heute sehr viel Geld ausgibt, die sind nicht besser als eine KI. Weil eine KI arbeitet nonstop, nonstop, nonstop. Die kann in Millisekunden reagieren. Nicht in Sekunden, nicht in Minuten, nicht in Stunden. In Millisekunden. Und somit bewegen wir uns von den Tools, KI-Security ... Also, die Security-Leute haben von einer Art reaktive Security. Ja, wir haben halt so eine Software, kostet uns Tausende von Euro im Monat. und wir suchen irgendwelche Bugs. Aber jetzt bewegen wir uns mit der KI zu proaktive Security. Die KI läuft die ganze Zeit, die findet Bugs und bevor der Angreifer überhaupt reinkommen kann, ähm, wie soll ich das jetzt sagen? Ja, dann greift es quasi den Angreifer oder stoppt quasi den Angreifer, ja? Und das ist, wenn ihr wollt, so eine Art Paradigmwechsel. Ihr merkt, wenn ich diese vier Sekunden nutze. Also ich nutze diese vier Sekunden, wenn ich quasi von einem Teil zu einem anderen wechseln Aber wenn ich Zeit zur Reflektion brauche und sage, was soll ich jetzt sagen, ich kann meine eigenen Notizen nicht verstehen, dann nutze ich den vier Sekunden Trick. Okay, jetzt kommen wir zurück. gut, jetzt ist sowas rausgekommen. Beides von Anthropic und auch von ChadGPT ist ja cool. Es sollten sich doch alle freuen. Eben nicht. Diese ganzen großen Cybersecurity Firmen sind an der Börse eingegangen. Hey, CrowdStrike ist einer der größten Cybersecurity Firmen der Welt. Die hat in den letzten paar Tagen 20 % verloren. Aber all anderen Cloud-Spezialisten und Cybersecurity auch. So Zscaler minus 10 Prozent, Letscope minus 10 Prozent. iShare Cybersecurity ETF. Also eigentlich, das ist der ETF mit den ganzen Security-Aktien minus vier Prozent. Jetzt, das sind nicht nur die, die jetzt gerade unter Druck sind. Auch Salesforce und ServiceNow. Ich verstehe das nicht. Salesforce und Service? Ja, Salesforce, weil die alle Angst haben, dass du Dein Sales Force selber baust für deine Firma. Und die ist nicht ⁓ 5 % eingegangen. Sales Force und Service Now sind circa ⁓ ein Drittel ihres Marktwertes eingegangen. Und was sehr interessant ist, ist der CEO von CrowdStrike. Der ist auf LinkedIn gegangen, okay? Und der hat geschrieben, äh, also, KI-Agenten, können diesen Chaos, den es in einer Firma gibt, gar nicht managen, ja? Jetzt. Marsha, ihr wisst ja, Marsha ist meine Gattin, das ist die Chefin von der Firma, die würde jetzt so was sagen, Malcolm, also wenn der CEO einer Firma auf LinkedIn gehen muss, um seine Firma zu verteidigen, dann wie denkt ihr, werden sich die Investoren fühlen? Besser oder schlechter? Und es denen wurscht, was der CEO auf LinkedIn gesagt hat, weil der Markt hat nicht zugehört. 20 Prozent runter, boom, bam. Und das wird jetzt weitergehen. Weil CrowdStrike, ich meine, kostet extrem viel Geld die ganze Security Suite, die sie haben, okay? Und warum hat CrowdStrike diese ganzen Schwarzstellen nicht gefunden? Warum hat CrowdStrike und die Hunderde von Developer, die auf, keine Ahnung, Mozilla Firefox arbeiten, diese ganzen Schwarzstellen nicht gefunden? Und was heißt das für eine ganze 500 Milliarden Dollar Cybersecurity-Industrie, wenn so ChachiPT und Claude daherkommen können und sagen können, morgen bist du tot, weil unsere Plugins machen das besser. Okay, jetzt weg von Silicon Valley. Jetzt reden wir mal über euch. Ja, ihr. Was habt ihr? Die 1000, die 5000 Mitarbeiter, die 10.000 Mitarbeiter, drei Werke, das ganze Maschinenpark ist vernetzt, wir IoT-Sensoren überall. KI nutzt ihr sowieso nicht. Und by the way, eure SAP S4 HANA Migration, die ist grad halbfertig, da seid ihr noch irgendwo drinnen, sagen wir mal so in der Hypercare-Phase. Also, wer alles das nicht verstanden hat, was ich gesagt hab ... Das ist so ein normaler Mittelständer irgendwo in Deutschland, Österreich, Schweiz oder Liechtenstein, okay? Was haben die? Die haben ein IT-Team, sechs bis zehn Leute. die Hälfte der Leute, da drin sitzen, die können eine Maus mit einem Keyboard verbinden. Das sind die ITler, drinnen sitzen. Dann hast du so ein, zwei Cloud-Leute und vielleicht noch einen Developer. Wenn du Glück hast. Wenn du Glück hast. So. Aber das Problem ist, diese IT-Abteilungen von diesen Firmen und diese Firmen machen den großen Batzen von Firmen aus, die hier im Dachraum sind. Das sind keine Security-Leute. Die müssen irgendwie reinstellen. Und der kommt vielleicht hin und wieder und schaut sich grad die Security an. Aber die haben nicht 24 Stunden jemand, der zum Beispiel auf Ransomware schaut, der den Code durchschaut, alles drum und dran. Das gibt es nicht. Das gibt es nicht. Und deshalb, das einzige, was solche Firmen jetzt machen können, ist eben auf diese neuen KI-Tools drauf springen. Ich die müssten sich jetzt Vollgas nächste Woche damit beschäftigen, weil es einfach so geil ist. Es kostet weniger, es ist besser wie Menschen. Das haben wir jetzt an einem halt eines großen Live-Beispiel gesehen. Aber ich sehe klar, wenn du Leute in deiner IT-Abteilung hast, die einen ... Keyboard mit einem Mouse verbinden können und einen neuen PC oder einen neuen Server aufsetzen können, dann hast du natürlich im Moment die falschen Leute drinnen. Und für alle, es nicht verstanden haben, dann kommt doch bitte zu meiner Chief AI Academy und ich erkläre euch das mal. Also, für alle, die jetzt panisch werden und sagen, wird in dem Security-Bereich oder Malcolm hat gesagt, KI wird in dem Security-Bereich alles ersetzen, nein, das glaube ich nicht. Ich glaube das nicht. Und by the way, es gibt Namen dafür, das nennt sich Automation Bias. Automation Bias ist, man denkt, dass die KI alles automatisieren wird. Also, ich denke nicht, dass das passieren wird, aber ich denke, dass wenn Klo sagen wir mal, Schwachstellen in Firefox finden kann, die menschliche Auditoren seit Jahren übersehen haben, dann ist der Druck jetzt enorm auf IT-Security-Abteilungen, dass die solche KI-Überwache oder KI-Patches schippen. Das ist ganz wichtig. Warum? Weil wenn KI Schwachstellen finden kann, dann können das Angreifer auch. Warum? Weil die Angreifer, arbeiten schon mit KI, die machen einen sehr, sehr guten Job, damit mit KI zu arbeiten. Aber das nächste ist, stellen wir uns mal vor, wir haben diese Abteilung, diese IT-Abteilung mit zehn Hanzeln, wobei fünf nur ein Keyboard und eine Maus verbinden können. Das Schöne mit diesen teuren, teuren Projekten, diese Security-Suits, die brauchen menschliche Aufsicht. Da muss jemand draufgehen und da sind 500 falsche Sachen und da muss ein Mensch verstehen, okay, 480 sind davon falsch. Aber diese neuen KI-Tools von Anthropic und von ChatGPT, da braucht man keine menschliche Aufsicht. Das ist ein Autopilot, da muss keine Zuschauer. Da muss dann nachher, wenn diese 3-4 Fehler rauskommen und Patches vorgeschlagen werden, dann müsst ihr dann jemand hinsetzen. Aber auch für die Regulierungs-Nerds Leute, der EU AI Act, okay? Da sind klare Anforderungen, da sind klare Anforderungen an euch zu schauen, dass eure Code keine Bugs hat oder keine KI Bugs oder keine KI Probleme. Und by the way, diese teuren KI Security Tools, die ihr nutzt bis jetzt, die fallen im EU AI Act unter High Risk Conformity Assessment. Das ist sehr schwierig für euch so ein Assessment zu machen. Aber klar, ist ChargPT und Cloud, das ist jetzt neu. Aber die viel, viel schneller zu so einem Conformity Assessment kommen, wie die ganze Suite, ihr jetzt nutzt, die, by the way, sehr, sehr, sehr schlecht funktioniert. ⁓ Okay, jetzt was machen wir morgen? Also wir gehen rein zu unserem CISO, das ist so der Chief Security Officer und dann fragst du folgendes, du, denken wir, dass ein KI Agent 80 % von unserem SEST und DEST TOOS machen könnte? Wenn er sagt nein, dann schick ihm diese Episode und wenn die Antwort ja ist oder ich weiß es nicht, das müssen wir uns anschauen, Dann fangt mal mit dem Audit an, Weil ihr werdet schockiert sein, wie viel Geld ihr ausgibt für Tools, die euch immer sehr viele false positives geben. Das Zweite ist, testet zugleich, zugleich. Codec Security und Codecode Security. By the way, für Codec Security, für Enterprise-Kunde, gibt's im ersten Monat eine kostenlose License. Okay? Jetzt nehmt ihr nicht eure Production Code Base, sondern ihr nehmt irgendwelche Non-Production Code Base, die nicht mission critical ist und lässt mal die KI drüber fahren. Und dann wette ich, dass sie extrem überrascht sein, nicht positiv, sondern extrem negativ überrascht sein, ⁓ Gottes Willen alle diese Probleme haben wir. Und dann das nächste ist, Leute. fangt jetzt mit ein KI-Tools Security Tools Assessment an. Warum? Weil wenn ihr überlegt, der EU AI Act, die Deadline ist August, wo ihr diese Conformity Assessment, CE Marken, Registrierungen in der EU Datenbank, das kommt jetzt alles ein bisschen schneller auf euch zu, wie ihr gedacht habt. Und Security-Architektur ist normalerweise langweilig. Leute in IT machen das nicht gerne. Das ist sehr, sehr, sehr langweilig. Aber wie gesagt, wenn eine KI 22 Schwachstellen in einer der sichersten Code-Basen auf der Welt finden kann, die kein Mensch gefunden hat, und danach eine ganze Branche an Wert verliert, CrowdStrike, Salesforce und so weiter und ganze ETF, dann müsst ihr euch überlegen, hey Also die filare Frage ist nicht unbedingt, kann KI eure Sicherheit verbessern? Die Antwort kennen wir draus, die 22 CBI sind Firefox. Die Antwort ist 100 Milliarden Prozent. Die Frage ist nur, habt ihr den Mut, das alte System, in dem ihr bis jetzt gelebt habt, loszulassen? Und wenn ihr es nicht tut, macht euch keine Angst. Die Hackers, die nutzen diese selbe KI's, um bei euch dann reinzukommen. Und dann zwingen sie euch, dieses alte System loszulassen. Jetzt noch was. Mir wird immer vorgeworfen, dass ich euch hier trasche. Okay, ich trasche euch ein bisschen. Aber ich glaube an euch, Wer diesen Podcast hört, nimmt KI sehr ernst. Und möchte KI wirklich verstehen. Und möchte verstehen, was Hype ist. Und wo wir uns vielleicht wirklich hinsetzen sollten und sagen sollten, Mein Gott, das müssen wir uns anschauen. Also im Moment wunderschöne Grüße aus Bregenz. Nächste Woche bin ich die ganze Woche in der Schweiz unterwegs. Viele Kunden, viele Sachen zu tun. Also ja, bleibt scharf, bleibt sicher und überlegt euch, ob ihr eine KI einsetzen wollt, ⁓ eure Schwarzstellen zu finden. Also ja Leute, Merkem out.