

Claude Code、Cursor 和 OpenAI Codex 等 AI 编程 Agent 正越来越多地出现在企业环境中,最新遥测数据显示,它们会无意间触发与凭据访问和合法二进制文件滥用(LOLBins)相关的安全检测规则。
Part01
AI工具模糊了
自动化与攻击行为的界限
Sophos CIXA 行为引擎的最新分析表明,这些工具模糊了良性自动化与通常与攻击者相关联的活动之间的界限。研究结果基于 2026 年 6 月收集的为期七天的 Windows 终端遥测数据。检测数据显示,映射到 MITRE ATT&CK 框架中凭据访问和执行等战术的规则触发了最多警报。
虽然观察到的所有活动均未被确认为恶意行为,但其中大部分与已知攻击者技术高度相似。
Part02
凭据访问行为触发大量警报
检测警报中有很大一部分来自凭据访问行为。最常触发的规则之一是 Creds_3b,该规则会检测使用 Windows 数据保护 API(DPAPI)解密浏览器存储凭据的进程。当 AI Agent 使用 GStack skills 等工具执行浏览器自动化任务时,研究人员多次观察到这种行为。

例如,/browse 功能会启动一系列进程,最终调用 PowerShell 来解码受保护数据。在观察到的某条命令中,PowerShell 使用 .NET 加密函数解码 Base64 输入,并在当前用户上下文下使用 DPAPI 进行解密。
Sophos 研究人员指出,虽然这种活动对浏览器自动化来说是合法的,但它使用了众所周知的窃密技术,导致检测规则即使面对良性目的也会正确标记。
Part03
其他高风险行为模式
其他与凭据相关的警报涉及 AI Agent 生成的 Python 脚本。在某些情况下,Agent 会先用 taskkill 终止浏览器进程,再执行访问存储凭据的脚本。

此外还观察到使用 Windows 内置的 cmdkey 工具枚举保存的凭据等命令。此类行为,特别是与 "--dangerously-skip-permissions" 等标志结合使用时,通常会触发安全运营中心的立即调查。

Part04
LOLBin滥用与持久化机制
除凭据访问外,AI Agent 还触发了与命令行混淆和 LOLBin 滥用相关的警报。一个例子是 OpenAI Codex 尝试使用 certutil.exe 从官网下载 Python 安装程序。当被阻止时,Agent 转而使用攻击者常用的另一个原生 Windows 工具 bitsadmin.exe。这种重试逻辑模拟了攻击者的键盘操作行为。
研究人员还观察到持久化机制。在某个案例中,Cursor 使用 PowerShell 脚本将 VBScript 文件写入 Windows 启动文件夹,这一操作被持久化检测规则标记。虽然意图似乎与应用程序设置相关,但在受信任安装程序之外的位置写入启动项仍是高风险行为。
遥测数据还包括"干扰"(Disrupt)类别的检测,代表自适应攻击防护(AAP)事件。当 AI Agent 尝试执行低信誉二进制文件时就会触发这些事件。虽然这些文件未被确认为恶意,但由于缺乏全球声誉而被自动阻止。
Part05
安全团队面临的新挑战
总体而言,数据显示 AI Agent 正在重塑终端上的基线活动。曾经被认为是入侵强指标的行为现在正由合法的自动化工具执行。然而这些行为的风险特征并未改变——解密凭据、使用 LOLBins 下载以及修改持久化位置本质上仍是敏感操作。
这种转变为检测工程团队带来了挑战。安全控制措施必须发展进化,在不削弱防护的情况下区分受信任的 AI 驱动自动化与真实威胁。随着 AI Agent 自主性越来越强,组织需要制定明确的策略来定义这些工具的允许操作范围,并提高对其行为的可见性。
参考来源:
Claude, Cursor, and Codex Trigger Endpoint Security Rules Used to Catch Hackers
https://cybersecuritynews.com/claude-code-cursor-and-codex-trigger/

电报讨论



夜雨聆风