AI 编程代理触发专为捕获攻击者而设计的端点安全规则

AI 编程代理触发专为捕获攻击者而设计的端点安全规则

Sophos 对一周的自身端点数据进行分析后发现,Claude Code、Cursor 和 OpenAI Codex 等 AI 编程代理正在触发原本为捕获人类入侵者而编写的检测规则。这些代理并无恶意,只是它们执行的许多行为在行为检测引擎看来与攻击完全一致:解密浏览器凭据、枚举 Windows 凭据存储中的内容、利用内置系统工具下载文件,以及写入启动文件夹。Sophos 基于 2026 年 6 月七天遥测数据指出,凭据访问占被拦截活动的 56.2%,执行占 28.8%,AI 代理正在以普通开发工作的形式重现攻击者的高信号行为,对行为型 EDR 检测构成严峻挑战。

Read More