ИИ-агенты для разработки стали причиной срабатываний EDR

3 мин
12
10 июля 2026

Специалисты компании Sophos проанализировали телеметрию с конечных точек за семь дней июня 2026 года. Компания установила, что ИИ-агенты для разработки Claude Code, Cursor и OpenAI Codex активируют правила защиты, которые предназначены для выявления действий злоумышленников. Агенты не относятся к вредоносным, но их работа определяется как атака с точки зрения поведенческих средств защиты. Речь идёт о расшифровке сохранённых в браузере учётных данных, извлечении сведений из диспетчера учётных данных Windows, загрузке файлов штатными утилитами и создании скриптов в папке автозагрузки.

Эксперты кибербеза учитывали число уникальных устройств, а не общий объём событий. Выборка основана на данных инфраструктуры компании и не отражает весь рынок. По данным компании, 56,2% заблокированной активности было связано с доступом к учётным данным, а 28,8% — с выполнением кода.

Самое частое правило в группе доступа к учётным данным сработало в 42,6% случаев. Оно реагирует на обращение к встроенному в Windows интерфейсу DPAPI. Этот интерфейс используют для расшифровки данных аутентификации, сохранённых в браузере.

Эксперты называют GStack распространённым набором расширений для ИИ-агентов. Его функция `/browse` запускает PowerShell-команду и обращается к DPAPI для работы с данными браузера. Компания зафиксировала такую активность через Claude Code. Вероятно, агент выполнял автоматизацию браузера по поручению пользователя. Однако средство защиты определило это действие как попытку доступа к учётным данным.

В одном случае Claude Code завершил работу браузера и запустил сценарий на Python для извлечения данных из хранилища учётных записей, а в другом выполнил команду `cmdkey /list` для просмотра учётных данных в диспетчере учётных записей Windows. При этом агент работал с параметром `--dangerously-skip-permissions`. Документация Anthropic предупреждает о рисках этого режима и описывает его блокировку через настройки администратора.

OpenAI Codex пытался скачать установщик Python с сайта `python.org`. Сначала агент использовал утилиту `certutil`, но операция была заблокирована. После этого он переключился на `bitsadmin`. Обе утилиты входят в состав Windows, но злоумышленники часто применяют их для загрузки вредоносных файлов. Такой подход относится к использованию штатных средств системы в атаках. В данном случае файл был безопасным, но смена способа после блокировки похожа на поведение атакующего.

Cursor вызвал срабатывание правила, которое выявляет закрепление в системе. Агент через PowerShell создал скрипт в папке автозагрузки и должен был запускаться при каждом включении компьютера. Специалисты кибербеза не установили его назначение, однако создание файлов в этой папке вне доверенного установщика считается подозрительной активностью.

Эксперты ИБ рекомендуют точнее настраивать правила для выполнения кода. Их можно привязать к процессам `claude.exe` и `cursor.exe`, дочерним процессам, рабочим и временным каталогам, а также к источнику загрузки. При этом предлагается сохранять строгие ограничения на доступ агентов к браузерным паролям и хранилищам учётных данных. Если причиной срабатываний стал режим `--dangerously-skip-permissions`, его следует отключить через централизованные настройки.

Важное по теме
Новости
Читать 2 минуты
10.07.2026
Из-за проблем с покупками игры в РФ увеличилось количество фишинговых сайтов
Самые изощрённые и смешные атаки с применением искусственного интеллекта
Тренды
Читать 5 минут
10.07.2026
Ламповые истории про ИИ
Новости
Читать 3 минуты
09.07.2026
Было проведено три крупных операции
Оставьте комментарий
Доступно для авторизованных пользователей
1/1000