Es gibt einen Moment, den jeder kennt, der ernsthaft mit einem Werkzeug arbeitet: den Moment, wo das Werkzeug nicht mehr reicht.
Meine Skriptsammlung funktionierte. Sicherheitsberichte zusammenfassen, Logs analysieren, TTPs extrahieren, jedes Skript für sich war nützlich. Aber sie redeten nicht miteinander. Jede Analyse war eine Insel. Erkenntnisse aus einem Durchlauf flossen nicht in den nächsten ein. Das Wissen, das ich produzierte, verschwand nach jeder Session.
Das war nicht nachhaltig.
Das Problem mit Einzelskripten
Stellen Sie sich vor, Sie haben einen sehr fähigen Analysten, der jeden Morgen mit Amnesie anfängt. Er kann hervorragend arbeiten, aber er erinnert sich an nichts aus dem Vortag. Sie müssen ihm täglich denselben Kontext erklären.
Genau das war mein KI-Workflow.
Ich analysierte einen Threat-Intelligence-Report, bekam gute Erkenntnisse, und beim nächsten Report fing das Modell bei null an. Es gab keinen akkumulierten Kontext. Kein Gedächtnis. Keine Verbindungen zwischen Erkenntnissen.
Ich brauchte kein besseres Skript. Ich brauchte eine andere Grundidee.
Die Architektur-Frage
Im Herbst 2024 habe ich aufgehört, über einzelne Skripte nachzudenken, und angefangen, über ein System nachzudenken.
Die Frage war: Was soll das System eigentlich leisten?
Meine Antwort in drei Sätzen: Es soll kontinuierlich Informationen sammeln und bewerten. Es soll Wissen aufbauen und behalten. Es soll mir helfen, schneller zu besseren Entscheidungen zu kommen.
Das klingt simpel. Die Konsequenzen für die Architektur waren es nicht.
Drei Ebenen, eine Logik
Das System, das ich in lyttek-ai-journey dokumentiert habe, besteht aus drei Ebenen, jede mit einer klar definierten Aufgabe.
Ebene 1: Strategische Steuerung, ich.
Das klingt selbstverständlich, ist es aber nicht. In vielen KI-Systemen wird der Mensch zum Durchlaufposten: Er gibt Input, bekommt Output, klickt auf "Akzeptieren". Das wollte ich nicht. Ich bin derjenige, der die Qualität des Outputs beurteilt, der entscheidet, was relevant ist, und der die Richtung vorgibt. KI ersetzt diesen Part nicht. Sie erweitert ihn.
Ebene 2: Cloud-KI für Synthese und Analyse.
Für Aufgaben, die Reasoning und Zusammenhang erfordern, komplexe Analysen, Berichtsentwürfe, strategische Bewertungen, nutze ich Cloud-Modelle über OpenRouter. OpenRouter ist ein Gateway, der mir ermöglicht, zwischen verschiedenen Modellen zu wechseln: DeepSeek, Gemini, Grok, je nach Aufgabe. Kein Vendor-Lock-in. Keine Abhängigkeit von einem einzelnen Anbieter.
Ebene 3: Lokale Docker-Modelle für kontinuierliches Monitoring.
Die unterste Ebene läuft permanent, ohne Internetverbindung, auf meiner eigenen Hardware. Diese Collector Agents nehmen Informationsquellen auf, klassifizieren sie, extrahieren Signale, und füttern die Wissensbasis. Sie sind nicht besonders klug, aber sie sind zuverlässig, schnell und datenschutzkonform.
Die Wissensbasis: ChromaDB
Das Herzstück des Systems ist nicht das Modell. Es ist die Wissensbasis.
Ich nutze ChromaDB als Vektordatenbank. Was bedeutet das konkret? Jede Erkenntnis, jede Analyse, jeder relevante Textbaustein wird in numerische Vektoren umgewandelt und gespeichert. Wenn ich eine neue Frage stelle, durchsucht das System die Wissensbasis nach semantisch ähnlichen Inhalten, nicht nach exakten Keywords, sondern nach Bedeutung.
Das ist der Unterschied zwischen einer Suche und einem Gedächtnis.
Ein Beispiel aus der Praxis: Ich analysiere heute einen neuen Phishing-Angriff. Das System verknüpft ihn automatisch mit ähnlichen Kampagnen aus den letzten sechs Monaten, die ich analysiert habe. Es zeigt mir Muster, die ich manuell vielleicht übersehen hätte. Nicht weil das Modell besonders schlau ist, sondern weil das System Wissen akkumuliert.
Aletheia: das Kommandozentrum
Für den Zugriff auf all das habe ich eine eigene Weboberfläche gebaut: Aletheia. FastAPI als Backend, einfaches Web-Frontend.
Der Name ist nicht zufällig. Aletheia ist der griechische Begriff für Offenlegung, Wahrheit im Sinne von: etwas ans Licht bringen, das verborgen war. Das passt zu dem, was das System leisten soll.
Aletheia zeigt mir den Status der Collector Agents, gibt mir Zugriff auf die Wissensbasis, und ermöglicht es mir, Analyse-Jobs zu starten, über eine Oberfläche, die ich selbst kontrolliere. Kein SaaS, kein Abo, keine externen Abhängigkeiten für die Kernfunktionen.
Was die Dokumentation wirklich ist
Das lyttek-ai-journey Repository ist keine fertige Software, die man installieren kann. Es ist eine Dokumentation eines Weges, elf progressive Guides, die zeigen, wie das System entstanden ist, welche Entscheidungen ich getroffen habe und warum.
Ich habe es öffentlich gemacht, weil ich selbst von offenen Dokumentationen anderer gelernt habe. David Shapiro dokumentiert seinen Denkprozess öffentlich. Daniel Miessler auch. Das hat mir mehr gegeben als viele Bücher.
Was das System nicht ist
Es ist kein autonomes System. Es trifft keine Entscheidungen ohne mich. Es bewertet, klassifiziert, schlägt vor, aber der letzte Schritt bin immer ich.
Das ist eine bewusste Entscheidung. Nicht aus Skepsis gegenüber KI, sondern aus Erfahrung mit Sicherheitssystemen: Automatisierung ohne Aufsicht erzeugt Blindstellen. Und Blindstellen in einem Security-Kontext sind gefährlich.
In Episode 4 rede ich genau darüber: was passiert, wenn KI in Security-Systemen ohne angemessenes Nachdenken eingesetzt wird, und was dabei schiefgehen kann.
Gregor Lyttek ist Security Architect und AI Strategist.