AI 編碼工具觸發端點資安規則 恐模糊正常與惡意行為界線
資安公司 Sophos 近期發布報告指出,Anthropic 的 Claude Code、Anysphere 旗下 Cursor 以及 OpenAI Codex 等主流人工智慧編碼工具,已開始觸發專為偵測惡意攻擊而設計的端點安全規則。這些 AI 工具的行為模式,在自動化偵測引擎眼中,與人類入侵者的攻擊手法驚人地相似。
Sophos 分析了 2026 年 6 月 Windows 系統的七天遙測數據,發現 AI 編碼工具會執行多項高風險動作。這些行為包含解密瀏覽器憑證、列出 Windows 憑證儲存庫內容、透過系統工具下載檔案,以及寫入啟動資料夾等。儘管這些 AI 工具本身並無惡意,其運作方式卻與典型的攻擊行為一致,這對資安防禦構成新的挑戰。在 Sophos 監測到的阻擋活動中,憑證存取佔 56.2%,程式執行佔 28.8%。
報告進一步揭示,高達 42.6% 的憑證存取警報是因為程式利用 Windows 的資料保護應用程式介面(DPAPI)解密瀏覽器中儲存的憑證資料。例如,廣泛應用於編碼工具的技能套件 GStack,其瀏覽功能會呼叫 DPAPI 來解鎖儲存的瀏覽器數據。Sophos 曾監測到 Claude Code 執行這項功能時,觸發了憑證竊取警報。Claude Code 甚至在某次運行中,使用了 Anthropic 文件中明確警告應封鎖的「--dangerously-skip-permissions」旗標模式,關閉瀏覽器並運行腳本從憑證儲存區提取數據,同時列舉 Windows 憑證管理員中的資訊。OpenAI Codex 則曾試圖從 www.python.org 下載 Python 安裝程式,在 certutil 被阻擋後,立即轉換使用 bitsadmin,這種「受阻後轉換方法」的行為模式,是惡意攻擊者的典型手法,現在也被 AI 代理程式生成。
Cursor 也曾透過 PowerShell 腳本寫入啟動資料夾,觸發了持續性(persistence)規則。資安業界長期將瀏覽器憑證呼叫、使用作業系統內建工具(LOLBin)下載以及寫入啟動項等行為視為高風險訊號。然而,Sophos 指出,這些行為現在不僅來自惡意攻擊者或被劫持的代理程式,也來自正常的 AI 編碼工具,這使得防禦者難以辨別真正的威脅。CrowdStrike 在其《2026 年全球威脅報告》中提到,2025 年有 82% 的偵測事件是不含惡意軟體的,顯示攻擊者正轉向利用有效憑證和信任工具。
Sophos 建議企業應調整其端點偵測與回應(EDR,這是一種資安軟體,用於持續監控終端設備並應對網路威脅)產品的規則,以區分 AI 編碼工具的執行雜訊與真正的威脅。例如,可根據代理程式的父程序、工作區路徑或下載目標的聲譽來設定規則。然而,Sophos 強調對於涉及憑證的行為必須「守住底線」。不應因為 AI 代理程式執行了解密瀏覽器憑證或列舉憑證管理員的操作,就認為這些行為是安全的,並且應透過集中管理設定來禁用 Claude Code 等工具中「--dangerously-skip-permissions」這類危險模式。Sophos 認為,AI 代理程式應被允許在端點上存取哪些資源,尤其是憑證儲存庫,是一個亟待釐清的政策問題。