… aber bislang nicht zu fragen wagten. Weniger Alerts, weniger manuelle Tätigkeit, dennoch mehr Sicherheit: Die Erwartungen an Künstliche Intelligenz (KI) in der Anwendungsicherheit (Application Security, kurz AppSec) sind hoch. Eine Cycode-Auswertung mithilfe des Cycode-eigenen KI-Agenten „Maestro“ hat sich damit beschäftigt, welche Fragen AppSec-Teams einer KI tatsächlich stellen – und gleichzeitig betrachtet welche Aufgaben sich besonders gut für eine KI-basierte Unterstützung eignen. Wir geben die Ergebnisse hier besonders gerne wieder, weil diese Fragestellungen sämtlich durchaus auch sinnvoll auf andere Gebiete der Unternehmenssicherheit angewendet werden können.
Was also wollen AppSec-Teams wohl von einer zumindest allwissend wirkenden Entität wie einer KI-Implementierung wissen? Die sechs zentralen Fragen, die KI-Agenten für die Anwendungssicherheit gestellt werden:
- „Was ist der Kontext dieses Repos?“ – KI als Kontextlieferant
Die häufigsten Anfragen von AppSec-Teams an ihre KI-Agenten drehen sich nicht um einzelne Findings oder Schwachstellen. Vielmehr geht es ihnen in den allermeisten Fällen um das Verständnis komplexer Codebasen. Häufig fragen sie nach Abhängigkeiten, Runtime-Imports, Build-Prozessen oder verwendeten Pipelines, um fremde oder historisch gewachsene Repos (Repositories) schneller einordnen zu können. Besonders in großen Organisationen fehlt oft der Überblick über Systeme und Anwendungen, die das AppSec-Team nicht selbst aufgesetzt beziehungsweise entwickelt hat. KI fungiert an dieser Stelle als eine Art virtueller Staff Engineer, der im Erfolgsfall technischen Kontext in Sekunden verfügbar macht. - „Bin ich betroffen?“ – KI als Exposure-Scanner, in Echtzeit
Viele AppSec-Teams nutzen KI-Agenten vor allem, um die Auswirkungen neuer Bedrohungen sofort einschätzen zu können. Statt CVEs oder Supply-Chain-Angriffe manuell über zahlreiche Repositories hinweg zu prüfen, stellen sie direkte Fragen wie: „Nutzen wir diese kompromittierte Library?“ oder „Welche Services sind betroffen?“ Die KI wird damit zum Echtzeit-Analyzer für Blast Radius und Exposure. Entscheidend ist hierbei nicht die ausführliche Erklärung der Schwachstelle, sondern die schnelle Antwort darauf, ob akuter Handlungsbedarf besteht. - „Was ist wirklich kritisch?“ – KI als Triage-Engine
Angesichts hunderter Findings pro Stunde wollen AppSec-Teams eines ganz sicher nicht: zusätzliche Alerts. Stattdessen suchen sie nach einer belastbaren Priorisierung. KI-Agenten sollen also einschätzen, welche Schwachstellen tatsächlich ausnutzbar, welche Systeme exponiert oder welche Findings im konkreten Umfeld irrelevant sind. Besonders wertvoll sind Antworten wie „Diese Schwachstelle ist nicht ausnutzbar. Hier ist warum …“. Die KI reduziert damit nicht nur den Analyseaufwand, sondern auch Unsicherheiten. Auf diese Weise hilft sie AppSec-Teams, eine sinnvolle Triage durchzuführen und ihre begrenzten Ressourcen auf die wenigen wirklich kritischen Risiken zu konzentrieren. - „Wo benutzen wir das noch?“ – KI als AppSec-Suchmaschine
Viele Anfragen an KI-Agenten sind letztlich komplexe Suchoperationen über Repositories, Pipelines und Cloud-Umgebungen hinweg. AppSec-Teams wollen wissen, wo bestimmte Libraries genutzt werden, welche Services ein Container-Image verwenden oder wo verdächtige Installationsskripte auftauchen. Solche Recherchen dauern manuell oft Stunden und erfordern üblicherweise mehrere Tools sowie tiefes Plattformwissen. KI-Agenten bündeln diese Informationen, verstehen Anfragen in natürlicher Sprache und geben auch in klarer Weise Auskunft. Sie avancieren damit zu einer zentralen Such- und Korrelationsschicht für eine moderne Anwendungssicherheit. - „Ist dieses Verhalten verdächtig?“ – KI als Malware-Analyst
AppSec-Teams setzen KI-Agenten zunehmend ein, um verdächtige Skripte, obfuskierten Code oder ungewöhnliche Installations-Hooks zu analysieren. Die Assistenten prüfen beispielsweise npm-Lifecycle-Scripts, Dockerfiles oder Bash-Kommandos auf möglichen Datenabfluss und erklären potenzielle Angriffspfade direkt im Kontext des Codes. Gerade bei Supply-Chain-Risiken oder manipulierten Open-Source-Paketen spart das enorm viel Zeit. KI wird hier weniger als Chatbot genutzt, sondern als schneller Malware- und Behavioral-Analyst für technische Tiefenanalysen. - „Muss ich sofort handeln?“ – KI als Transparenzbeschleuniger
Der größte Mehrwert von KI im Bereich der Anwendungssicherheit liegt nicht nur in schnellerer Triage. Sie schafft idealerweise vor allem schneller Transparenz. Teams wollen von ihren KI-Agenten wissen, ob sie eskalieren müssen, ob ein Incident real ist oder ob ein Risiko aktuell tolerierbar bleibt. Statt lange Daten aus verschiedenen Systemen zusammenzutragen, liefern sie verdichtete, handlungsorientierte Einschätzungen. Damit können sie zur Entscheidungsunterstützung und zum Entscheidungsbeschleuniger in Situationen werden, in denen Unsicherheit, Kontextwechsel und Zeitdruck den größten operativen Aufwand verursachen.