你把编码代理部署到开发团队,它写代码、装依赖、偶尔自动化浏览器、自己排查故障。然后安全运营中心亮了红灯:凭据访问警报、LOLBin下载拦截、启动文件夹持久化规则命中。没有数据被盗,也没有攻击者,只是代理在做本职工作——而你的端点检测系统根本分不清区别。
这是Sophos在2026年7月遥测报告里的尴尬发现。在2026年6月为期一周的监测中,Sophos的CIXA行为引擎观察运行Claude Code、Cursor和OpenAI Codex的Windows端点,三者全都触发了防御者花了十年调校来捕捉人类入侵者的检测规则。报告要说的不是代理有恶意,恰恰相反:规则完全按设计运转,但良性代理行为现在在规则层面已经和攻击者的手法一模一样。
Sophos按唯一机器统计了拦截规则命中,映射到MITRE ATT&CK战术。两类行为占主导,其中凭据访问(credential access)一类就贡献了大部分警报。在该类别中,一条规则——Creds_3b——占了42.6%的命中。它会在非浏览器进程使用Windows数据保护API(DPAPI)解密浏览器存储的凭据时触发。这正是浏览器凭据窃取程序的标准手法,也是浏览器自动化技能替你登录网站时的确切机制。相同的API调用,相同的PowerShell链,意图天差地别——而引擎只能看到行为。
以Claude Code搭配GStack的/browse技能为例。GStack是一个被广泛使用的代理技能包,它的/browse技能将代理连接到Chromium守护进程进行浏览器自动化。Sophos追踪到的行为树是这样的:bash → browse.exe → node.exe → PowerShell,然后PowerShell调用DPAPI解密浏览器已保存的凭据。Creds_3b规则恰恰命中此模式。
在其他的会话里,Claude Code还更进一步。它通过PID终止正在运行的浏览器进程(taskkill.exe),运行一个叫decrypt_wp_pass.py的脚本访问凭据存储,并执行cmdkey.exe /list枚举Windows凭据管理器。再把这一串操作读一遍:杀掉浏览器、解密已保存密码、再导出操作系统凭据库。在威胁狩猎电话会议里,这种操作链会让分析师立刻发起应急响应。但这里只是一个编码代理在做日常工作。
Sophos报告的要点不是指责代理邪恶,而是提醒:防御规则有效运转,但代理的良性行为已经能在规则层面以假乱真。如果你在受管端点运行编码代理,这应该是需要在警报出现之前就做好预案的问题,而不是事后弥补。报告的相关文章《2026年代理安全清单:每个运营者需要的隔离模型》已经点出方向——在代理和敏感凭据之间加一道隔离,让行为监控不再混淆工具与威胁。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.