AI 编码助手触发端点安全规则,被误判为攻击行为
- 浏览次数 91
- 喜欢 0
Sophos 分析了一周自身的端点数据,发现 Claude Code、Cursor 和 OpenAI Codex 等 AI 编码助手正在触发那些为捕捉人类入侵者而编写的检测规则。
这些助手并非恶意。它们只是做了大量在行为引擎看来与攻击完全一致的事情。
解密浏览器凭据、列出 Windows 凭据存储中的内容、使用内置系统工具下载文件、写入启动文件夹——这些长期以来都是防御方的高信号行为。
改变的是谁在产生这些行为。在 Sophos 监控的机器上,往往是开发者的 AI 助手在进行日常工作。
触发警报的行为
该分析基于 2026 年 6 月七天的遥测数据,来自 Sophos 在 Windows 上的行为引擎,按独立机器计数而非原始事件量统计。这只是单一厂商设备上的一个窄窗口,并非行业普查。
Sophos 的图表显示,凭据访问占被拦截活动的 56.2%,执行为 28.8%——AI 助手在访问存储的机密信息,或以攻击者的方式运行代码。
最大的凭据访问规则(占该组的 42.6%)在进程使用 Windows 内置的 Data Protection API(DPAPI)解密浏览器存储的凭据数据时触发。Sophos 称 GStack 是编码助手广泛采用的一个技能包。其 /browse 技能正是通过运行 PowerShell 调用 DPAPI 来解锁已保存的浏览器数据。Sophos 发现该行为在 Claude Code 下运行。从上下文看,这几乎可以肯定是代表用户进行的浏览器自动化操作。但对检测引擎而言,这就是凭据窃取,该规则的触发是正确的。
一些 Python 示例在纸面上看起来更糟。在一个案例中,Claude Code 关闭了正在运行的浏览器,并运行了一个从其凭据存储中提取数据的脚本。此外,它还运行了 cmdkey /list 来枚举 Windows Credential Manager 中保存的凭据。Sophos 指出,这里的 Claude Code 使用了 --dangerously-skip-permissions 标志运行,这是 Anthropic 自家文档警告不要使用、并告知管理员如何禁用的模式。
当一种方法被阻止时,AI 助手会尝试另一种。OpenAI Codex 就是这样做的:它先从 python.org 使用 certutil 获取 Python 安装程序,该行为被拦截后,又切换到 bitsadmin。两者都是合法的 Windows 工具,但攻击者经常滥用它们来拉取载荷,即"离地攻击"。
目标本身是无害的,但 Sophos 的观点是:这种"被拦截后立即切换策略"的行为正是区分实时攻击者与静态脚本的关键,而现在良性的 AI 助手也会这样做了。
Cursor 触发了持久化规则,因为它使用 PowerShell 向启动文件夹写入了一个脚本,该脚本会在每次机器启动时运行。Sophos 无法确认该脚本的功能,但写入启动文件夹(且非通过可信安装程序)正是防御方一看到就会标记的行为。
AI 助手站在攻防两侧
另一面已经显现。一个月前,Sophos 记录了一名攻击者使用 AI 助手构建并针对 EDR 产品测试恶意软件,其中使用了 Claude Opus 4.5 来协调工作。那是开发阶段的用途:AI 助手帮助攻击者编写更好的工具。AI 助手在运行时也会被反过来对付自己的用户。在另一个案例中,研究人员展示了一个编码助手可能通过投毒输入被诱骗运行攻击者代码,这种攻击链可以绕过 EDR,因为 AI 助手是在用户的可信会话内运行的。
这些是不同的事件,触发了不同的规则,但它们共享一个攻击面:浏览器凭据调用、LOLBin 下载和启动文件夹写入现在既来自良性助手,也来自攻击者运行的助手和被劫持的助手。
这就是为什么原始行为本身不再像以前那样具有指示性。而这背后是入侵形态的更大变化。CrowdStrike 的 2026 年全球威胁报告发现,2025 年 82% 的检测是无恶意软件的,攻击者通过有效凭据和可信工具而非投放文件来活动。
正是这种转变推动检测转向了行为分析。现在 AI 助手出于正常原因产生了相同的行为,挤占了防御方所依赖的精确信号。
对防御方的启示
如果开发者在自己的账户下运行这些 AI 助手,预计端点规则会在他们的机器上触发。Sophos 的应对方案是按捕获内容对规则进行拆分。来自助手重试下载或发出格式异常的 PowerShell 的执行噪声,通常可以限定范围:将规则关联到助手的父进程(claude.exe、cursor.exe 及其子进程)、其工作区或临时路径,或下载目标的可信度。这样就能阻止已知助手执行正常工作时产生告警。
凭据相关行为则是需要坚守的底线。解密浏览器凭据或枚举 Credential Manager 并不会因为是由 AI 助手而非人类执行就变得安全,AI 助手也不应该仅仅因为运行在可信用户下就继承对凭据存储的完全访问权限。如果噪声来自 Claude Code 的 --dangerously-skip-permissions 模式,则通过托管设置禁用该模式。
Sophos 称这只是初步观察而非最终结论,并指出尽管方向明确,但这一变化规模仍然较小。开放的政策问题是:编码助手在端点上到底应该被允许访问什么,而凭据存储是一个合理的起始边界。