AI 编程代理触发专为捕获攻击者而设计的端点安全规则

AI 编程代理触发专为捕获攻击者而设计的端点安全规则

导语:Sophos 的一份新分析显示,Claude Code、Cursor 与 OpenAI Codex 等 AI 编程代理正频繁触发原本用于捕获人类攻击者的端点检测规则,凸显出行为型 EDR 在 AI 时代面临的新型信号污染挑战。

Sophos 对一周的自身端点数据进行分析后发现,Claude Code、Cursor 和 OpenAI Codex 等 AI 编程代理正在触发原本为捕获人类入侵者而编写的检测规则。

这些代理并无恶意。它们只是在做大量在行为检测引擎看来与攻击完全一致的事情。

解密浏览器凭据、枚举 Windows 凭据存储中的内容、使用内置系统工具下载文件、向启动文件夹写入内容——这些行为长期以来对防御者而言都是高价值信号。

改变的是这些行为的产生者。在 Sophos 观察的机器上,做出这些行为的常常是一名开发者的 AI 助手在执行其日常工作。

该分析基于 2026 年 6 月七天内的遥测数据,采集自 Sophos 在 Windows 上的行为检测引擎,并按唯一机器(而非原始事件数量)进行统计。这只是一个厂商机群的窄窗口观察,并非行业普查。

Sophos 的图表显示,在被拦截的活动中,凭据访问占 56.2%,执行占 28.8%:代理正在获取存储的密钥,或以攻击者的方式运行代码。

凭据访问类中最大的一条规则占该组的 42.6%,其触发条件是进程使用 Windows 内置的 Data Protection API(DPAPI)解密浏览器存储的凭据数据。Sophos 将 GStack 称为一款被广泛采用的编程代理技能包。

其 /browse 技能正是如此操作——运行调用 DPAPI 的 PowerShell 来解锁已保存的浏览器数据。Sophos 捕获到它在 Claude Code 下运行。从上下文看,几乎可以肯定是在替用户进行浏览器自动化;但对检测引擎而言,这就是凭据窃取,该规则的触发是正确的。

一些 Python 示例乍看之下更为可疑。在一个实例中,Claude Code 关掉了正在运行的浏览器,并运行一个脚本从其凭据存储中拉取数据。

原文配图

此外,它还运行 cmdkey /list 来枚举 Windows 凭据管理器中持有的凭据。Sophos 指出,此处的 Claude Code 运行时设置了 –dangerously-skip-permissions 标志——Anthropic 自身的文档警告不要使用该模式,并介绍了管理员应如何阻止它。

当一种方法失败时,代理会尝试另一种。OpenAI Codex 就这样做了:从真正的 python.org 获取 Python 安装程序,最初使用 certutil。该操作被阻止后,它转而使用 bitsadmin。这两者都是合法的 Windows 实用程序,常被攻击者滥用于拉取载荷——即典型的 "Living off the Land"(就地取材)手法。

目标本身是无害的,但 Sophos 想说明的是:这种 "被阻止即转向" 的行为,正是将实时攻击者与静态脚本区分开的关键,而良性的代理如今也会表现出同样的行为。

Cursor 通过使用 PowerShell 投放一个启动文件夹脚本(将在每次机器启动时运行)而触发了一条持久化规则。Sophos 无法确认该脚本的具体用途,但在启动文件夹中写入来自非受信安装程序的脚本,正是防御者一眼就会标记的行为。

硬币的另一面已经显现。一个月前,Sophos 曾记录过一名攻击者利用 AI 代理针对 EDR 产品构建和测试恶意软件,其中一名攻击者使用 Claude Opus 4.5 协调整个工作。

那是开发阶段的情形:代理在帮助攻击者编写更好的工具。而代理在运行时也会反过来被用于针对其自身用户。在另一个独立案例中,研究人员展示了一个编程代理如何被诱导通过投毒输入运行攻击者代码——这种链路可能绕过 EDR,因为代理是在用户的受信会话内执行操作的。

这些是不同的事件,触发了不同的规则,但它们共享同一类攻击面:浏览器凭据调用、LOLBin 下载与启动项写入,如今既来自良性代理、来自攻击者控制的代理,也来自被劫持的代理。

这就是为什么原始行为所能告诉你的信息已不如从前。而这一现象又嵌入到入侵形态的整体变化之中。CrowdStrike 的 2026 年全球威胁报告发现,2025 年的检测中有 82% 是无恶意软件的,攻击者通过有效凭据和受信工具进行移动,而非投放文件。

正是这种转变促使检测走向行为分析。AI 代理如今正以日常理由产生同样的行为,挤占了防御者曾经赖以依靠的精确信号。


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/ai-coding-agents-found-triggering.html

作者:info@thehackernews.com (The Hacker News)