Как ИИ-агенты для программирования случайно включают тревогу в системах защиты

Специалисты Sophos решили заглянуть в собственную телеметрию с конечных устройств и наткнулись на нечто неожиданное. Правила обнаружения, годами настроенные ловить живых злоумышленников, всё чаще срабатывают вовсе не на хакеров, а на ИИ-агентов вроде Claude Code, Cursor и OpenAI Codex, которые просто выполняют свою обычную работу разработчика.
Суть проблемы в том, что рутинные действия таких агентов — расшифровка сохранённых паролей, перечисление хранилищ учётных данных, скачивание файлов через системные утилиты, запись скриптов в папку автозагрузки — исторически считались классическими признаками атаки. Изменился не сам набор действий, а личность того, кто их совершает. Раньше за DPAPI-запросом к браузерным паролям почти наверняка стоял злоумышленник. Теперь это может быть помощник разработчика, который просто выполняет задачу из промпта.
Для анализа Sophos взяла собственный движок поведенческого обнаружения на Windows и просмотрела семь дней телеметрии за июнь 2026 года. Считали не количество событий, а число уникальных машин, где сработали правила — так честнее по отношению к масштабу проблемы. Сами исследователи сразу оговорились: это узкое окно по флоту одного вендора, не отраслевая перепись.
Цифры получились показательными. 56,2% заблокированной активности пришлось на попытки доступа к учётным данным, 28,8% — на исполнение подозрительного кода. Внутри первой категории почти половина, 42,6%, приходится на одно-единственное правило — злоупотребление DPAPI, той самой Data Protection API, которую Windows использует для шифрования сохранённых в браузере паролей.
Конкретные примеры Sophos описала подробно. GStack — по их словам, широко используемый набор навыков для кодинг-агентов — содержит скилл /browse, запускающий PowerShell-скрипт с вызовом DPAPI для разблокировки сохранённых учётных данных браузера. Sophos зафиксировала этот процесс под управлением Claude Code. Скорее всего, это легитимная автоматизация браузера, но детектор корректно распознаёт в этом поведение кражи учётных данных — потому что технически это оно и есть.
Отдельный случай с Claude Code выглядит серьёзнее: агент закрыл запущенный браузер и запустил Python-скрипт, вытягивающий данные из хранилища учётных данных, а затем отдельно выполнил команду cmdkey /list для перечисления содержимого Windows Credential Manager. Всё это происходило с включённым флагом --dangerously-skip-permissions — тем самым, против которого прямо предостерегает документация Anthropic, предлагая администраторам способы его блокировки через управляемые настройки.
С OpenAI Codex история другая — про поведение, а не про пароли. Агент пытался скачать установщик Python с легитимного , сначала через certutil — заблокировано, затем переключился на bitsadmin. Обе утилиты законные, обе давно любимы атакующими как "living off the land" инструменты. Ключевой момент здесь не в цели загрузки (она безобидна), а в самой манере поведения: попытка, блокировка, переключение на другой инструмент — именно так десятилетиями отличали живого атакующего от статичного скрипта. Теперь так себя ведут и безобидные агенты.
Cursor попался на другом — записи PowerShell-скрипта в папку автозагрузки, который выполнялся бы при каждой перезагрузке машины. Sophos так и не смогла подтвердить, что именно делал этот скрипт. Но запись в автозагрузку в обход доверенного установщика сама по себе подозрительна, вне зависимости от намерений.
Контекст становится тревожнее, если вспомнить, что месяцем ранее та же Sophos документировала обратную ситуацию — атакующего, который использовал ИИ-агентов, включая Claude Opus 4.5, для разработки и тестирования вредоносного ПО против продуктов EDR. А отдельные исследования показали, что кодинг-агента можно обмануть отравленными входными данными и заставить выполнить код атакующего — причём такая атака способна обходить EDR именно потому, что агент работает внутри уже доверенной пользовательской сессии. Получается три совершенно разных сценария — безобидный агент, агент в руках атакующего, взломанный агент — а технический след у всех один: вызовы к браузерным паролям, загрузки через LOLBin-утилиты, записи в автозагрузку.
Индустрия и без того двигалась к поведенческому обнаружению не просто так. В Global Threat Report CrowdStrike за 2026 год отмечается, что 82% детектов в 2025 году были обнаружены без вредоносного файла вообще — атакующие всё чаще двигаются по сети с помощью валидных учётных данных и доверенных инструментов, не оставляя классических следов малвари. Именно это когда-то и заставило индустрию перейти на поведенческие сигнатуры. Ирония в том, что теперь легитимные ИИ-агенты генерируют ровно те же поведенческие паттерны по совершенно мирным причинам, забивая шумом именно те сигналы, на которые защитники привыкли полагаться.
Sophos предлагает разделять правила по тому, что они на самом деле ловят. Шум от исполнения — повторные попытки, странное форматирование PowerShell-команд — можно безопасно фильтровать, привязывая правила к идентичности родительского процесса (claude.exe, cursor.exe и их дочерним процессам), к расположению рабочей директории или временной папки, к репутации цели загрузки. Цель — заглушить оповещения от известного, идентифицированного агента, выполняющего рутинную работу.
А вот с поведением, затрагивающим учётные данные, компания советует не смягчать правила вообще. Расшифровка браузерных паролей или перечисление Credential Manager не становится безопаснее только потому, что это делает ИИ, а не человек. Агенты не должны наследовать неограниченный доступ к хранилищам учётных данных лишь потому, что работают под доверенной учётной записью пользователя. Конкретный совет — если источник шума это режим --dangerously-skip-permissions в Claude Code, его стоит отключить через управляемые настройки, благо такая возможность предусмотрена.
Сами исследователи назвали свои выводы «ранним прочтением, а не вердиктом» и подчеркнули, что сдвиг пока невелик, даже если направление уже ясно. Открытым остаётся вопрос политики: что вообще должно быть разрешено трогать кодинг-агенту на конечном устройстве? Хранилища учётных данных, по мнению Sophos, — разумное место, чтобы провести первую черту.


Новое на сайте

Ссылка