Когда агенты ИИ выглядят как злоумышленники: что нам говорит поведенческая телеметрия
Агенты ИИ-программистов (Claude Code, Cursor, Codex и другие, созданные на основе пакетов навыков, таких как GStack) появляются в клиентских средах. Они пишут код, устанавливают зависимости, автоматизируют задачи браузера и устраняют неполадки, пробуя альтернативные подходы. С точки зрения механизма анализа поведения конечных точек, часть этой активности неотличима от типичной активности, наблюдаемой в клиентских сетях, — или, в некоторых случаях, от действий, которые мог бы предпринять активный противник.
В этом блоге анализируются реальные телеметрические данные, полученные с помощью поведенческого механизма Sophos CIXA на Windows, чтобы показать, где и почему агенты ИИ запускают правила обнаружения. Цель не в том, чтобы назвать эту активность вредоносной. Цель — показать, что существующие средства защиты от поведенческих атак работают именно так, как задумано, и проиллюстрировать проблемы проектирования систем обнаружения, которые возникнут по мере ускорения внедрения агентного ИИ.
Обзор телеметрии
На диаграмме ниже показано распределение срабатываний блокирующих правил за семидневный период в июне 2026 года, с разбивкой по тактикам MITRE ATT&CK и измеренным количеством уникальных машин. Преобладают тактики, связанные с доступом к учетным данным и их выполнением (соответственно, девятая и четвертая категории тактик в матрице ATT&CK). Обратите внимание на наличие категории, не относящейся к ATT&CK, которую мы называем «Нарушение».

Рисунок 1: Количество срабатываний блокирующих правил (по тактике MITRE) после обработки агентами ИИ, измеренное по количеству уникальных машин.
Категория «Disrupt» — не входящая в официальные категории ATT&CK, но представляющая собой полезный общий инструмент, который мы сейчас объясним, — обозначает правила AAP (Adaptive Attack Protection), то есть устройства, на которых AAP активировалась и блокировала активность, связанную с агентами ИИ. Каждое обнаруженное нами срабатывание AAP касалось исполняемых файлов с низкой репутацией, которые пытались запустить агенты. Ни один из них не выглядел вредоносным, но все они имели низкие глобальные показатели репутации в телеметрии SophosLabs.
Переключение на скрытые (неблокирующие) срабатывания правил позволяет получить более широкое представление о действиях, выполняемых агентами ИИ, которые поведенческий механизм считает достойными отслеживания и группировки.

Рисунок 2: Количество срабатываний «тихих правил» (по тактике MITRE) после обработки данных агентами ИИ, измеренное по количеству уникальных машин.
Распределение скрытых действий более рассредоточено, с преобладанием категорий уклонения и управления и контроля. Это отражает действия агентов, выполняющих сетевые вызовы, запускающих дочерние процессы и использующих шаблоны командной строки, которые пересекаются с методами действий противника.
Доступ по учетным данным
Возвращаясь к двум крупнейшим категориям ATT&CK, которые мы наблюдали в нашем наборе данных правил блокировки, правила доступа к учетным данным составляют наибольшую долю совпадений. Распределение конкретных правил показано на рисунке 3.

Рисунок 3: Правила блокировки доступа к учетным данным, применяемые агентами ИИ, измеряемые количеством уникальных машин.
Правило Creds_3b отвечает за основную часть этих срабатываний. Оно активируется при получении сигнала HMPA CookieGuard, который идентифицирует процессы, использующие API защиты данных (DPAPI) для расшифровки учетных данных браузера.
GStack /browse and Creds_3b
GStack — это широко распространенный набор навыков для агентов ИИ. Один из его встроенных навыков, /browse, подключает агента к демону Chromium для автоматизации работы в браузере. Телеметрия Creds_3b показывает, что эта цепочка навыков использует PowerShell для расшифровки конфиденциальных данных браузера. Пример на рисунке 4 показывает вызов GStack /browse агентом Claude Code.

Рисунок 4: Дерево активности, показывающее цепочку навыков GStack /browse, от bash через browse.exe, node.exe и до PowerShell.
Командная строка PowerShell подтверждает, что именно обнаружило правило:
powershell -NoProfile -Command «Add-Type -AssemblyName System.Security; $stdin = [Console]::In.ReadToEnd().Trim(); $bytes = [System.Convert]::FromBase64String($stdin); $dec = [System.Security.Cryptography.ProtectedData]::Unprotect($bytes, $null, [System.Security.Cryptography.DataProtectionScope]::CurrentUser); Write-Output ([System.Convert]::ToBase64String($dec))»
В данном контексте это почти наверняка безобидно: агент автоматизирует сеанс браузера. Но расшифровка учетных данных браузера с помощью PowerShell через DPAPI — это именно то, что блокирует правило Creds_3b, и его срабатывание вполне оправдано.
Доступ к учетным данным Python (Creds_6a, Creds_2d)
Несколько попыток доступа к учетным данным были связаны с процессами Python. В примере, показанном на рисунке 5, Клод запускает серию команд taskkill.exe для завершения процессов браузера по PID, а затем запускает скрипт Python, который обращается к хранилищам учетных данных браузера.

Рисунок 5: Клод завершает процессы браузера перед запуском скрипта Python (decrypt_wp_pass.py), который обращается к данным браузера (щелкните для увеличения изображения).
В дереве активности также отображается команда, запущенная через Клода, которая выводит сохраненные учетные данные из диспетчера учетных данных Windows:
«C:Windowssystem32cmdkey.exe» /list
Это вредоносная информация? Само по себе этого было бы достаточно, чтобы вызвать специалиста по анализу MDR. В командной строке claude.exe есть один важный флаг:
—dangerously-skip-permissions
В документации Клода, как показано на рисунке 6, четко указаны риски, связанные с этим флагом.

Рисунок 6: Предупреждение в документации Claude Code о флаге —dangerously-skip-permissions
Обфускация командной строки
В телеметрии появилась серия триггеров Exec_16a. Это старое правило, добавленное более пяти лет назад. Изначально оно было написано для обнаружения вредоносных команд PowerShell, использующих определенный метод форматирования строк в качестве мягкой обфускации.
Пять лет спустя агенты ИИ генерируют скрипты PowerShell с аналогичным форматированием в командной строке. Правило уже было ужесточено, чтобы уменьшить количество ложных срабатываний из этого источника.
Ingress: загрузить и выполнить
Агенты искусственного интеллекта — настойчивые специалисты по решению проблем. Когда команда не срабатывает, они пробуют альтернативы, перебирая различные инструменты и методы, пока что-нибудь не заработает. Это полезная способность для помощника программиста. Она также имитирует поведение злоумышленников, получивших доступ к системе.
Один пример из телеметрии наглядно это иллюстрирует. Агент ИИ (OpenAI Codex) попытался загрузить и запустить установщик Python. Он начал с certutil.exe (заблокирован Lateral_1b), затем переключился на bitsadmin.exe (заблокирован Exec_5a).
| Время | Командование | Исход |
| 06:47:35 | certutil.exe -urlcache -split -f https://www.python.org/…/python-3.14.6-amd64.exe | Блоки Lateral_1b |
| 06:47:36 | certutil.exe -urlcache -split -f (тот же URL, другой путь вывода) | Блоки Lateral_1b |
| 06:57:44 | Ещё несколько вариантов certutil. | Блоки Lateral_1b |
| 06:57:47 | bitsadmin.exe /transfer PythonDownload /download /priority normal (тот же URL) | Блоки Exec_5a |
Цель загрузки была легитимной: python.org. Но команды certutil -urlcache и bitsadmin /transfer — это классические методы загрузки из LOLBin. Агент использовал их без запроса, и когда один из них был заблокирован, он переключился на другой. Именно такое поведение отличает активного противника от примитивного скрипта, и теперь это то, что добропорядочные агенты ИИ делают регулярно.
Упорство
Запись в папку автозагрузки вне контекста доверенного, хорошо зарекомендовавшего себя установщика — это тревожный сигнал. Такое поведение не ожидается от агента программирования.
В приведенном ниже примере показано, как Cursor использует сценарий PowerShell для записи файла VBScript в папку автозагрузки Windows. Правило Persist_2a заблокировало это действие. Имя файла сценария предполагает, что он связан с приложением под названием «EZConvert», но без содержимого сценария мы не можем подтвердить намерение.
Командная строка PowerShell:
powershell.exe -ExecutionPolicy Bypass -File C:Users
Сценарий находится в процессе написания:
C:Users<имя пользователя>AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupLaunch-EZConvert-ConsoleOnly.vbs
Заключение
Созданные с помощью ИИ агенты изменили представление о том, что считается «нормальным» в телеметрии клиентов. Правила, которые ранее срабатывали почти исключительно при вредоносной активности, теперь срабатывают при безобидном поведении агентов. Изменения пока незначительны, но тенденция очевидна.
Некоторые действия действительно вызывают подозрения, независимо от того, кто их инициировал. Расшифровка учетных данных браузера с помощью PowerShell, извлечение записей из диспетчера учетных данных, запись в папки автозагрузки, перебор методов загрузки LOLBin — все это средства защиты не зря отмечают. Тот факт, что это сделал агент искусственного интеллекта, не делает это безопасным.
Инженерным системам обнаружения потребуется адаптироваться. Некоторые правила потребуют доработки для учета заведомо достоверных сигнатур агентов. Другие же должны продолжать срабатывать, поскольку обнаруженная ими активность рискованна независимо от того, была ли она инициирована человеком или агентом. Приведенные выше примеры являются отправной точкой для такой сортировки.
Для клиентов, внедряющих агентов ИИ, более широкий вопрос касается политики и контроля. Что должен иметь право делать агент на конечной точке? Какие ограничения следует устанавливать? Представленная здесь поведенческая телеметрия предоставляет полезный исходный набор данных для разработки таких политик. Это не шестимесячный снимок телеметрии с окончательными выводами. Это первоначальный, краткий анализ сигналов, в котором мы уже можем увидеть некоторые интересные вещи, а также понять, что потребуется дальнейший мониторинг, оценка и настройка.
Похожие записи
Оцените материал:
Похожие записи
096_369 Проект 369 — Измеряя невозможное: Мыслящее начало…
30.01.2026
Электромобиль от Sharp с проектором и управлением «умным» домом
02.11.2025
Австрийская Raiffeisen снова не смогла продать российский бизнес из-за «сопротивления властей» — Reuters
02.10.2025Присоединяйтесь и подпишитесь на рассылку самых свежих новостей по Email
Получайте свежие новости и идеи на почту. Без спама — только самое интересное.
Нажимая «Подписаться», вы соглашаетесь с политикой конфиденциальности.
