https://www.informationsecurity.com.tw/seminar/2026_TNSP/

新聞

AI 編碼代理程式觸發資安偵測,攻守行為模式接近重疊

2026 / 07 / 15
編輯部
AI 編碼代理程式觸發資安偵測,攻守行為模式接近重疊
資安業者 Sophos 分析 2026 年 6 月間一週的端點遙測資料後指出,Claude Code、Cursor、OpenAI Codex 等 AI 編碼代理程式,正在觸發原本用來攔截人類攻擊者的行為偵測規則。這些代理程式本身並無惡意,但執行操作在行為引擎看來,與攻擊行為高度相似。

觸發警報的行為類型

Sophos 以 Windows 端點上「獨立受影響裝置」的數量進行統計,發現被攔截的活動中,憑證存取佔 56.2%,程式執行佔 28.8%

憑證存取類別中,最常觸發的規則(佔該類別 42.6%)是偵測程序利用 Windows 內建的資料保護 API(Data Protection API,DPAPI)解密瀏覽器儲存的憑證資料。Sophos 發現,廣泛採用的代理程式技能套件 GStack 的 /browse 技能,會以 PowerShell 呼叫 DPAPI 來解鎖瀏覽器資料;當其在 Claude Code 底下執行時即遭到攔截。就情境而言,這幾乎可確定是代理程式代替使用者進行瀏覽器自動化操作,但對偵測引擎來說,行為特徵與憑證竊取並無二致。

部分與 Python 相關的案例表面上更為嚴重:Claude Code 在其中一個案例中關閉正在運行的瀏覽器並執行腳本擷取憑證資料;另一個案例則執行 cmdkey /list,列舉 Windows 憑證管理員中儲存的憑證。Sophos 也指出,這些操作是在啟用 dangerously-skip-permissions 旗標的模式下進行;Anthropic 的官方文件對此模式有明確警告,並提供管理員封鎖該模式的方法。

程式執行方面,OpenAI Codex 嘗試自 python.org 下載 Python 安裝程式時,先以 certutil 發出請求遭攔截,隨即改用 bitsadmin 重試,呈現出遭遇封鎖後自動切換工具的行為。Sophos 指出,這種「遇阻轉換」過去是區分真人攻擊者與靜態腳本的重要特徵,如今良性的 AI 代理程式也會出現相同行為。

Cursor 則因使用 PowerShell 將腳本寫入啟動資料夾,觸發了持久化偵測規則,使裝置每次開機都會自動執行。

攻守兩端均現 AI 代理程式

此事件也呼應了 Sophos 於一個月前記錄的另一案例:一名攻擊者使用 AI 代理程式(其中一個運行 Claude Opus 4.5)協助開發並測試可規避端點偵測與回應(EDR)工具的惡意軟體。另有研究人員指出,AI 編碼代理程式可能透過遭污染的輸入被誘導執行攻擊者程式碼;且由於攻擊鏈是在受信任的使用者工作階段內進行,可能進一步繞過 EDR 偵測。

如今,瀏覽器憑證存取、LOLBin(系統內建工具濫用)下載,以及將腳本寫入啟動資料夾等行為,可能同時出自良性代理程式、攻擊者控制的代理程式,或遭劫持的代理程式,導致單一行為所能傳遞的偵測訊號大幅降低。

CrowdStrike《2026 年全球威脅報告》也揭示更廣泛的趨勢:2025 年有 82% 的偵測案例不涉及惡意軟體,攻擊者主要透過合法憑證與受信任工具在環境中橫向移動。這也是防禦方轉向行為偵測的原因;而 AI 代理程式如今也以相似的行為模式進行日常操作,進一步擠壓防禦方賴以依靠的偵測訊號空間。

防護建議

Sophos 建議依行為性質將偵測規則分類處理。對於代理程式重試下載、或生成格式異常的 PowerShell 等執行層噪音,可依代理程式父程序(如 claude.exe、cursor.exe 及其子程序)、工作區或暫存路徑,以及下載目標的信譽縮小範圍,以避免已知代理程式的正常作業持續觸發警報。

然而,涉及憑證存取的行為仍應嚴格管控:解密瀏覽器憑證或列舉憑證管理員,並不會因操作者是代理程式就變得安全;代理程式也不應因在受信任的使用者帳號下執行,就自動繼承對憑證資料庫的存取權限。若噪音來源為 Claude Code 的 dangerously-skip-permissions 模式,則應透過受管理的設定停用該模式。

Sophos 將此次分析定位為初步觀察而非定論,並指出目前此類情況的規模仍屬有限,但趨勢已相當明確。

本文轉載自 TheHackerNews。