Штучний інтелект

AI-агенти для кодування викликають спрацьовування систем безпеки кінцевих точок

T

The Hacker News

5 хв читання

Ілюстрація, що показує AI-агента для кодування, який взаємодіє з комп'ютером, викликаючи спрацьовування системи безпеки.

Sophos проаналізувала власні дані кінцевих точок і виявила, що AI-агенти для кодування, такі як Claude Code, Cursor та OpenAI Codex, викликають спрацьовування правил виявлення, написаних для виявлення людських зловмисників. Ці агенти не є шкідливими, але виконують багато дій, які для поведінкового механізму виглядають як атака.

Чому спрацьовують тривоги?

Розшифровка облікових даних браузера, перелік вмісту сховища облікових даних Windows, завантаження файлів за допомогою вбудованих системних інструментів, запис у папку автозавантаження — ці дії давно були високосигнальними для захисників. Змінилося те, хто генерує ці дії. На машинах, які спостерігала Sophos, це часто був AI-помічник розробника, який виконував звичайну роботу.

Аналіз базується на семи днях телеметрії за червень 2026 року, отриманих від поведінкового механізму Sophos на Windows, і підраховувався за унікальними машинами, а не за обсягом подій. Це вузьке вікно на парк одного постачальника, а не галузевий перепис.

Діаграми Sophos показують, що доступ до облікових даних становив 56,2% заблокованої активності, а виконання — 28,8%. Це агенти, які звертаються до збережених секретів або запускають код так, як це роблять зловмисники. Найбільше правило доступу до облікових даних (42,6% цієї групи) спрацьовує, коли процес використовує вбудований Windows Data Protection API (DPAPI) для розшифровки збережених даних облікових даних браузера.

Sophos називає GStack широко прийнятим набором навичок для агентів кодування. Його навичка /browse робить саме це, запускаючи PowerShell, який викликає DPAPI для розблокування збережених даних браузера. Sophos зафіксувала його роботу під Claude Code. У контексті це майже напевно автоматизація браузера від імені користувача. Для механізму виявлення це крадіжка облікових даних, і правило спрацьовує правильно.

Приклади "підозрілої" поведінки

Деякі приклади Python виглядали гірше на папері. В одному випадку Claude Code вимкнув запущений браузер і запустив скрипт, який витягнув дані з його сховища облікових даних. Окремо він запустив cmdkey /list, щоб перерахувати облікові дані, які зберігав Менеджер облікових даних Windows. Sophos зазначає, що Claude Code тут працював з прапорцем --dangerously-skip-permissions, режимом, від якого застерігає власна документація Anthropic і вказує адміністраторам, як його заблокувати.

Коли один підхід не спрацьовує, агент намагається інший. OpenAI Codex зробив саме це, завантаживши інсталятор Python з real python.org, починаючи з certutil. Це було заблоковано, тому він переключився на bitsadmin. Обидва є легітимними утилітами Windows, які зловмисники регулярно використовують для завантаження корисного навантаження, "живучи за рахунок землі". Ціль була нешкідливою, але Sophos вказує, що ця поведінка "зміни тактики при блокуванні" відрізняє живого зловмисника від статичного скрипта, і тепер доброякісні агенти також це роблять.

Cursor спрацював на правило стійкості, використовуючи PowerShell для розміщення скрипта в папці автозавантаження, який запускався б щоразу при завантаженні машини. Sophos не змогла підтвердити, що робив скрипт, але запис у автозавантаження поза довіреним інсталятором — це те, що захисники відзначають одразу.

Агенти на обох сторонах

Зворотний бік вже помітний. Місяцем раніше Sophos задокументувала зловмисника, який використовував AI-агентів для створення та тестування шкідливого програмного забезпечення проти продуктів EDR, причому один з них запускав Claude Opus 4.5 для координації роботи. Це був час розробки: агенти допомагали зловмиснику писати кращі інструменти.

Агенти також можуть бути використані проти своїх власних користувачів під час виконання. В окремому випадку дослідники показали, що агента кодування можна обманом змусити запустити код зловмисника через отруєні вхідні дані, ланцюжок, який може пройти повз EDR, оскільки агент діє в рамках довіреної сесії користувача.

Це окремі події з різними правилами спрацьовування, але вони мають спільну поверхню: виклики облікових даних браузера, завантаження LOLBin та записи в автозавантаження тепер походять від доброякісних агентів, агентів, керованих зловмисниками, та скомпрометованих агентів. Ось чому сира дія говорить менше, ніж раніше. І це вписується у більшу зміну того, як виглядають вторгнення.

Звіт CrowdStrike "Global Threat Report 2026" виявив, що 82% виявлень 2025 року були без шкідливого програмного забезпечення, при цьому зловмисники використовували дійсні облікові дані та довірені інструменти замість скидання файлів. Цей зсув і підштовхнув виявлення до поведінкового аналізу. AI-агенти тепер генерують таку ж поведінку зі звичайних причин, заповнюючи саме той сигнал, на який захисники покладалися.

Що це означає для захисників?

Якщо розробники запускають ці агенти під своїми обліковими записами, слід очікувати спрацьовування правил кінцевих точок на їхніх машинах. Відповідь Sophos полягає в тому, щоб розділити правила за тим, що вони виявляють. Шум виконання від агента, який повторює завантаження або видає дивно відформатований PowerShell, зазвичай можна обмежити. Прив'яжіть правило до батьківського процесу агента (наприклад, claude.exe, cursor.exe та їхніх дочірніх процесів), його робочої області або тимчасового шляху, або репутації цілі завантаження. Це зупиняє відомого агента, який виконує звичайну роботу, від генерації сповіщень.

Поведінка, що стосується облікових даних, є тією межею, яку слід тримати. Розшифровка облікових даних браузера або перерахування Менеджера облікових даних не стає безпечною лише тому, що це зробив агент замість людини, і агент не повинен успадковувати повний доступ до сховищ облікових даних лише тому, що він працює під довіреним користувачем. Якщо шум походить від режиму --dangerously-skip-permissions Claude Code, вимкніть цей режим через керовані налаштування.

Sophos називає це раннім прочитанням, а не вироком, і зазначає, що зсув все ще невеликий, хоча напрямок зрозумілий. Відкрите політичне питання полягає в тому, до чого взагалі повинен мати доступ агент кодування на кінцевій точці, і сховища облікових даних є розумним місцем для проведення першої межі.

Що це означає для розробників

Розробники, які використовують AI-агенти для кодування, можуть зіткнутися зі спрацьовуванням правил безпеки на своїх машинах, оскільки дії агентів імітують шкідливу поведінку. Це вимагатиме від них розуміння, як їхні інструменти взаємодіють з системами безпеки кінцевих точок, та, можливо, налаштування режимів роботи агентів, таких як відключення --dangerously-skip-permissions.

Ключові факти

  • AI-агенти для кодування (Claude Code, Cursor, OpenAI Codex) викликають спрацьовування правил безпеки Sophos, призначених для зловмисників.

  • Агенти не є шкідливими, але їхні звичайні дії (розшифровка облікових даних, доступ до сховищ, завантаження файлів системними утилітами, запис у автозавантаження) імітують атаки.

  • 56,2% заблокованої активності стосувалося доступу до облікових даних, 28,8% — виконання.

  • Claude Code використовував DPAPI для розшифровки облікових даних браузера та працював з прапорцем --dangerously-skip-permissions.

  • OpenAI Codex демонстрував поведінку "зміни тактики при блокуванні", використовуючи certutil та bitsadmin для завантаження файлів.

Джерела

Штучний інтелектРозробка ПЗКібербезпека

Попередні статті

Ілюстрація, що показує невелику команду інженерів, які співпрацюють з елементами штучного інтелекту, символізуючи зміну структури та обов'язків у розробці програмного забезпечення.
10 липня 2026Штучний інтелект

ШІ трансформує інженерні команди: менші групи та розширені ролі

За даними Gartner, до 2029 року 60% організацій перейдуть на менші команди розробників програмного забезпечення. ШІ змінює обов'язки інженерів, дозволяючи їм зосередитися на вирішенні проблем, а не на рутинних завданнях, що призводить до реструктуризації команд.

Ілюстрація сучасного центру обробки даних з візуалізацією потоків даних та аналітики, що символізує зростання та ефективність DCIM-послуг.
10 липня 2026Технології

Ринок послуг DCIM для центрів обробки даних зросте до $8.38 мільярда до 2030 року

Ринок послуг DCIM для центрів обробки даних демонструє значне зростання, прогнозується збільшення до $8.38 мільярда до 2030 року. Основними рушіями є віртуалізація, ефективність, оптимізація енергії та поширення хмарних обчислень.

Ілюстрація сучасного центру обробки даних, що символізує зростання ринку DCIM-послуг, з елементами хмарних обчислень, ШІ-аналітики та енергоефективності.
10 липня 2026Технології

Ринок послуг DCIM для центрів обробки даних зростає до $8.38 млрд завдяки хмарним обчисленням

Ринок послуг DCIM для центрів обробки даних демонструє значне зростання, прогнозується досягнення $8.38 млрд до 2030 року. Основними рушіями є віртуалізація, ефективність, оптимізація енергії та поширення хмарних обчислень.