Claude等AI工具触发安全警报,凭据访问行为与黑客攻击高度相似
Claude Code、Cursor 和 OpenAI Codex 等 AI 编程 Agent 正越来越多地出现在企业环境中最新遥测数据显示它们会无意间触发与凭据访问和合法二进制文件滥用LOLBins相关的安全检测规则。AI工具模糊了自动化与攻击行为的界限Sophos CIXA 行为引擎的最新分析表明这些工具模糊了良性自动化与通常与攻击者相关联的活动之间的界限。研究结果基于 2026 年 6 月收集的为期七天的 Windows 终端遥测数据。检测数据显示映射到 MITRE ATTCK 框架中凭据访问和执行等战术的规则触发了最多警报。虽然观察到的所有活动均未被确认为恶意行为但其中大部分与已知攻击者技术高度相似。凭据访问行为触发大量警报检测警报中有很大一部分来自凭据访问行为。最常触发的规则之一是 Creds_3b该规则会检测使用 Windows 数据保护 APIDPAPI解密浏览器存储凭据的进程。当 AI Agent 使用 GStack skills 等工具执行浏览器自动化任务时研究人员多次观察到这种行为。例如/browse 功能会启动一系列进程最终调用 PowerShell 来解码受保护数据。在观察到的某条命令中PowerShell 使用 .NET 加密函数解码 Base64 输入并在当前用户上下文下使用 DPAPI 进行解密。Sophos 研究人员指出虽然这种活动对浏览器自动化来说是合法的但它使用了众所周知的窃密技术导致检测规则即使面对良性目的也会正确标记。其他高风险行为模式其他与凭据相关的警报涉及 AI Agent 生成的 Python 脚本。在某些情况下Agent 会先用 taskkill 终止浏览器进程再执行访问存储凭据的脚本。此外还观察到使用 Windows 内置的 cmdkey 工具枚举保存的凭据等命令。此类行为特别是与 --dangerously-skip-permissions 等标志结合使用时通常会触发安全运营中心的立即调查。LOLBin滥用与持久化机制除凭据访问外AI Agent 还触发了与命令行混淆和 LOLBin 滥用相关的警报。一个例子是 OpenAI Codex 尝试使用 certutil.exe 从官网下载 Python 安装程序。当被阻止时Agent 转而使用攻击者常用的另一个原生 Windows 工具 bitsadmin.exe。这种重试逻辑模拟了攻击者的键盘操作行为。研究人员还观察到持久化机制。在某个案例中Cursor 使用 PowerShell 脚本将 VBScript 文件写入 Windows 启动文件夹这一操作被持久化检测规则标记。虽然意图似乎与应用程序设置相关但在受信任安装程序之外的位置写入启动项仍是高风险行为。遥测数据还包括干扰Disrupt类别的检测代表自适应攻击防护AAP事件。当 AI Agent 尝试执行低信誉二进制文件时就会触发这些事件。虽然这些文件未被确认为恶意但由于缺乏全球声誉而被自动阻止。安全团队面临的新挑战总体而言数据显示 AI Agent 正在重塑终端上的基线活动。曾经被认为是入侵强指标的行为现在正由合法的自动化工具执行。然而这些行为的风险特征并未改变——解密凭据、使用 LOLBins 下载以及修改持久化位置本质上仍是敏感操作。这种转变为检测工程团队带来了挑战。安全控制措施必须发展进化在不削弱防护的情况下区分受信任的 AI 驱动自动化与真实威胁。随着 AI Agent 自主性越来越强组织需要制定明确的策略来定义这些工具的允许操作范围并提高对其行为的可见性。