凌晨两点,一个开发者在终端输入了“帮我重构这个认证模块”。几分钟后,安全运维中心的屏幕上亮起了红色的告警图标——系统检测到“凭证窃取行为”。
这不是攻击。这是AI编程助手在工作。
![]()
安全公司Sophos近期分析了自家端点产品在2026年6月一周内的遥测数据,发现包括Claude Code、Cursor和OpenAI Codex在内的AI编程工具,正在大量触发那些为捕捉人类入侵者而编写的检测规则。
这些智能体本身没有恶意。问题在于,它们的工作方式,恰好和攻击者如出一辙。
解密浏览器凭证、列出Windows凭据管理器中的内容、用系统内置工具下载文件、往启动文件夹里写脚本——这些动作长期以来一直是防守方眼中最强烈的攻击信号。但Sophos监控的机器上,生成这些信号的已经不是黑客,而是一个正在日常工作中运行的开发者AI助手。
统计数据显示,在被拦截的活动中,凭据访问占比达到56.2%,代码执行占28.8%。这意味着AI编程助手最常见的两个动作——读取存储的密钥,或者像攻击者那样运行代码——恰好命中了行为检测引擎最敏感的神经。
42.6%的凭据访问告警来自同一条规则:某个进程使用Windows自带的数据保护接口(DPAPI)解密浏览器中保存的凭据数据。Sophos指出,一个被编程助手广泛采用的技能包GStack,其/browse功能做的事情恰恰就是运行PowerShell脚本调用DPAPI来解锁浏览器数据。
Sophos在Claude Code的运行环境中捕捉到了这个行为。从上下文看,这几乎可以肯定是替用户做浏览器自动化操作。但在检测引擎眼里,这就是凭据盗窃,规则触发得完全合理。
一些Python示例看起来更可疑。有一次,Claude Code关掉了正在运行的浏览器,然后执行了一个脚本,从浏览器凭据存储中提取数据。另一次,它运行cmdkey /list命令枚举Windows凭据管理器中的所有凭据。
Sophos特别指出,当时Claude Code启动时带有--dangerously-skip-permissions标志。这个模式在Anthropic自己的文档中是被警告的,并且Anthropic专门告诉管理员如何阻止它。
当一个方法失败时,智能体会尝试另一个。OpenAI Codex就是这样做的。它最开始用certutil从python.org下载Python安装包,被拦截后立刻切换到bitsadmin。这两个工具都是合法Windows组件,但攻击者经常利用它们来下载攻击载荷,被称为“就地取材”战术。
下载的目标文件本身无害。但Sophos想强调的是,这种“被拦截就换路子”的行为模式,正是区分真人攻击者和静态脚本的关键特征。现在,无害的AI助手也具备了这种能力。
Cursor触发了一条持久化规则,因为它用PowerShell向启动文件夹写入了一个脚本,这个脚本会在每次开机时运行。Sophos无法确认这个脚本具体做什么,但向启动文件夹写入内容——如果不是通过受信任的安装程序——正是防守方一见就标红的行为。
硬币的另一面已经浮现。就在一个月前,Sophos记录到了一个攻击者使用AI智能体发起攻击的案例。同样的工具,同样能规避检测的能力,正在同时出现在攻防两端。
这意味着安全团队面临的新挑战不是“AI来了怎么办”,而是一个更具体的判断问题:当你看到一连串标准的攻击行为链条时,你如何确定对面是一个正在工作的开发者,还是一个正在渗透的攻击者?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.