Seguranca Cibernetica

Agentes de codificação com IA estao acionando regras de seguranca de endpoint feitas para capturar atacantes

A Sophos analisou uma semana de dados de seus proprios endpoints e descobriu que agentes de codificacao com IA, como Claude Code, Cursor e OpenAI Codex, estao disparando regras de deteccao criadas para identificar invasores humanos. Os agentes nao sao maliciosos. Eles simplesmente realizam diversas acoes que, do ponto de vista de um motor de analise comportamental, parecem exatamente um ataque. Descriptografar credenciais do navegador, listar o que esta no cofre de credenciais do Windows, baixar arquivos usando ferramentas nativas do sistema e gravar na pasta de inicializacao: ha muito tempo essas atividades geram alertas de alta relevancia para os defensores.


Swati Khandelwal Quinta - 09 de Julho de 2026 às 11:19
The Hacker News

A Sophos analisou uma semana de dados de seus proprios endpoints e descobriu que agentes de codificacao com IA, como Claude Code, Cursor e OpenAI Codex, estao disparando regras de deteccao criadas para identificar invasores humanos.

Os agentes nao sao maliciosos. Eles simplesmente realizam diversas acoes que, do ponto de vista de um motor de analise comportamental, parecem exatamente um ataque.

Descriptografar credenciais do navegador, listar o que esta no cofre de credenciais do Windows, baixar arquivos usando ferramentas nativas do sistema e gravar na pasta de inicializacao: ha muito tempo essas atividades geram alertas de alta relevancia para os defensores.

O que mudou foi quem esta gerando esses sinais. Nas maquinas monitoradas pela Sophos, tratava-se frequentemente de um assistente de IA do desenvolvedor executando tarefas comuns.

O que disparou os alertas

A analise se baseia em sete dias de telemetria de junho de 2026, coletados pelo motor comportamental da Sophos em Windows e contabilizados por maquinas unicas, nao pelo volume bruto de eventos. Trata-se de uma janela restrita sobre a frota de um unico fornecedor, nao de um censo do setor.

Os graficos da Sophos colocam o acesso a credenciais em 56,2 por cento das atividades bloqueadas e a execucao em 28,8 por cento: agentes buscando segredos armazenados ou executando codigo da mesma forma que atacantes fariam.

A maior regra de acesso a credenciais, com 42,6 por cento desse grupo, e acionada quando um processo utiliza a DPAPI (Interface de Programacao de Aplicativos de Protecao de Dados, em ingles Data Protection API) nativa do Windows para descriptografar os dados de credenciais armazenados no navegador. A Sophos chama o GStack de um pacote de habilidades amplamente adotado para agentes de codificacao.

Sua habilidade /browse faz exatamente isso, executando PowerShell que chama a DPAPI para desbloquear dados salvos do navegador. A Sophos identificou essa acao em execucao no Claude Code. No contexto, trata-se quase certamente de automacao do navegador em nome do usuario. Para o motor de deteccao, porem, e furto de credenciais, e a regra esta correta ao disparar.

Alguns exemplos em Python pareciam piores no papel. Em um caso, o Claude Code encerrou o navegador em execucao e rodou um script que extraiu dados do cofre de credenciais.

Em outro momento, executou cmdkey /list para enumerar as credenciais que o Gerenciador de Credenciais do Windows mantinha. A Sophos observa que o Claude Code ali rodava com a flag --dangerously-skip-permissions ativada, um modo que a propria documentacao da Anthropic desaconselha e instrui administradores a bloquear.

Quando uma abordagem falha, um agente tenta outra. O OpenAI Codex fez exatamente isso: buscou um instalador do Python no proprio python.org, comecando pelo certutil. Isso foi bloqueado, entao ele mudou para o bitsadmin. Ambos sao utilitarios legitimos do Windows que atacantes costumam abusar para baixar cargasuteis, a tecnica conhecida como LOLBin (Living Off the Land Binaries, ou uso abusivo de binarios legitimos do sistema).

O alvo era inofensivo, mas o ponto da Sophos e que esse comportamento de pivo quando bloqueado e o que separa um atacante ao vivo de um script estatico, e agentes benignos agora tambem o fazem.

O Cursor acionou uma regra de persistencia ao usar PowerShell para gravar um script na pasta de inicializacao que rodaria toda vez que a maquina fosse ligada. A Sophos nao conseguiu confirmar o que o script fazia, mas gravar na inicializacao fora de um instalador confiavel e o tipo de acao que defensores sinalizam imediatamente.

Agentes de IA dos dois lados da linha

O outro lado ja e visivel. Um mes antes, a Sophos documentou um atacante que usou agentes de IA para construir e testar malware contra produtos de EDR (Detecao e Resposta em Endpoint, em ingles Endpoint Detection and Response), um deles rodando o Claude Opus 4.5 para coordenar o trabalho.

Aquilo ocorreu na fase de desenvolvimento: agentes ajudando um atacante a criar ferramentas melhores. Os agentes tambem sao virados contra os proprios usuarios em tempo de execucao. Em outro caso, pesquisadores mostraram que um agente de codificacao pode ser enganado para executar codigo de atacante por meio de entradas envenenadas, uma cadeia que pode passar pelo EDR porque o agente atua dentro da sessao confiavel do usuario.

Sao eventos separados, com regras diferentes disparando, mas compartilham uma superficie: chamadas a credenciais do navegador, downloads via LOLBin e gravacoes na inicializacao agora vem de agentes benignos, de agentes controlados por atacantes e de agentes sequestrados.

Por isso a acao bruta diz menos do que antes. E isso se insere em uma mudanca maior na aparencia das intrusoes. O Relatorio Global de Ameacas 2026 da CrowdStrike apontou que 82 por cento das deteccoes de 2025 foram livres de malware, com atacantes se movendo por meio de credenciais validas e ferramentas confiaveis em vez de soltar arquivos.

Essa mudanca foi o que impulsionou a deteccao para o comportamento em primeiro lugar. Os agentes de IA agora geram o mesmo comportamento por razoes comuns, abarrotando exatamente o sinal no qual os defensores passaram a confiar.

O que isso significa para os defensores

Se desenvolvedores rodam esses agentes em suas proprias contas, espere que regras de endpoint disparem em suas maquinas. A resposta da Sophos e segmentar as regras pelo que elas capturam. O ruido de execucao vindo de um agente que tenta novamente um download ou emite PowerShell com formatacao estranha geralmente pode ser delimitado.

Direcione a regra ao processo pai do agente (claude.exe, cursor.exe e seus processos filhos), ao caminho do espaco de trabalho ou temporario, ou a reputacao do destino do download. Isso impede que um agente conhecido executando tarefas comuns gere alertas.

O comportamento de tocar em credenciais e onde se mantem a linha. Descriptografar credenciais do navegador ou enumerar o Gerenciador de Credenciais nao se torna seguro porque foi um agente em vez de uma pessoa, e um agente nao deve herdar acesso irrestrito a cofres de credenciais apenas por rodar sob um usuario confiavel. Se o ruido vem do modo --dangerously-skip-permissions do Claude Code, desative esse modo por meio de configuracoes gerenciadas.

A Sophos classifica isso como uma leitura inicial, nao um veredito, e observa que a mudanca ainda e pequena, mesmo que a direcao seja clara. A questao aberta de politica e o que um agente de codificacao deve poder tocar em um endpoint, e os cofres de credenciais sao um lugar sensato para tracar a primeira linha.

Inteligencia Artificial Seguranca Cibernetica Endpoint