การใช้โมเดล AI เพียงตัวเดียวไม่สามารถตรวจจับช่องโหว่ได้ทุกประเภท ในขั้นตอนนี้ แพลตฟอร์มจะส่ง AI หลายรูปแบบลงสนาม โมเดลที่เบากว่าและเร็วกว่าจะสแกนครอบคลุมทั้งระบบ ในขณะที่โมเดลที่มีประสิทธิภาพสูงกว่า (Frontier Models) ซึ่งส่งผ่าน Gemini Enterprise Agent Platform จะทำการวิเคราะห์เชิงลึกตามบริบทบนระบบที่มีความเสี่ยงสูง เช่น แอปฯที่เชื่อมต่ออินเทอร์เน็ต หรือระบบยืนยันตัวตน โดยจะตรวจสอบตรรกะของแอปฯ, การตั้งค่าคลาวด์, และโค้ดระดับไบนารี เพื่อจัดลำดับภัยคุกคามที่สำคัญจริงๆ
เมื่อพบช่องโหว่ร้ายแรง ทุกวินาทีมีค่าเพื่อการแก้ไข CodeMender ซึ่งพัฒนาโดย Google DeepMind จะสร้างแพตช์ที่ผ่านการตรวจสอบแล้ว (Verified Patches) ลงใน IDE หรือ CLI ของนักพัฒนาโดยตรง มันทำงานร่วมกับ Wiz และ Antigravity เพื่อแทนที่โค้ดที่เสี่ยง เขียนส่วนประกอบเดิมใหม่ด้วยภาษาที่มีความปลอดภัยด้านหน่วยความจำ (Memory-safe Languages) และวิเคราะห์ไลบรารีที่มีความเสี่ยง ก่อนที่แพตช์ใดๆ จะถูกรวมเข้ากับระบบ Production แพลตฟอร์มจะสร้างชุดทดสอบอัตโนมัติเพื่อยืนยันการแก้ไข และแท็กไลบรารีที่ถูกแก้ไขในระบบควบคุมซอร์สโค้ด (Source Control) เพื่อสร้างประวัติการแก้ไขที่ตรวจสอบได้
ในขั้นตอนสุดท้ายจะส่งต่อการทำงานให้กับชุด AI Agent เฉพาะทางภายใน Google Security Operations เพื่อรับมือกับงานต่างๆ อย่างต่อเนื่อง เช่น การตรวจจับภัยคุกคาม, คัดกรองการแจ้งเตือน (Alert Triage), สอบสวน และค้นหาภัยคุกคามเชิงรุก (Proactive Threat Hunting) จากข้อมูลทางไกลของเครือข่าย สิทธิ์ผู้ใช้ และแอปพลิเคชัน เพื่อล็อกสภาพแวดล้อมให้แน่นหนายิ่งขึ้น อิมเมจคอนเทนเนอร์ที่ถูกทำให้แข็งแกร่ง (Hardened) จะถูกสร้าง เซ็นรับรอง และยืนยันทุกวันเพื่อลดพื้นผิวการโจมตีในระยะยาว
พลังที่แท้จริงของ AI Threat Defense อยู่ที่การที่แต่ละองค์ประกอบสามารถเชื่อมโยงการทำงานเฉพาะทางเข้าด้วยกันเป็นเวิร์กโฟลว์เดียวที่สอดคล้อง
เวิร์กโฟลว์นี้มีลำดับที่สวยงาม: Wiz หาว่าอะไรที่เปิดเผยและมีช่องโหว่, Gemini และ CodeMender ยืนยันและแก้ไขโค้ดที่ต้นเหตุ และ Mandiant มอบ Playbook การปฏิบัติการเพื่อนำทางการตอบสนอง โดยทั้งหมดถูกเฝ้าระวังโดย Agent ใน Google Security Operations
Google Cloud ไม่ได้คาดหวังให้องค์กรต่างๆ ต้องเดินหน้านำแพลตฟอร์มนี้ไปปฏิบัติการด้วยตัวเองเพียงลำพัง โดยมีพาร์ทเนอร์ที่แข็งแกร่งพร้อมส่งมอบเวิร์กโฟลว์ความปลอดภัยที่แม่นยำสูงแบบ ready-to-use ได้ทันที
*(EDR หรือ Endpoint Detection and Response คือระบบตรวจจับและตอบสนองภัยคุกคามบนอุปกรณ์ปลายทาง เช่น คอมพิวเตอร์หรือเซิร์ฟเวอร์ ซึ่ง SentinelOne มีความเชี่ยวชาญเป็นพิเศษ)