
Telemetria de uma semana em junho de 2026 mostra que assistentes como Claude Code, Cursor e OpenAI Codex reproduzem padrões de acesso a credenciais, execução e persistência historicamente associados a atacantes humanos.
| Componente | Motores comportamentais de endpoint em estáções Windows monitoradas pela Sophos; agentes de codificação com IA (Claude Code, Cursor, OpenAI Codex) e regras de detecção voltadas a intrusão humana |
| Vetor | Comportamento legítimo de agentes que acessa credenciais via DPAPI, enumera o Credential Manager, baixa artefatos com utilitários nativos do Windows e grava scripts na pasta de inicialização, frequentemente sob sessão confiável do desenvolvedor |
| Impacto | Elevação de ruído em alertas de credencial (56,2% da atividade bloqueada) e execução (28,8%), com risco de mascarar atividade maliciosa real que usa as mesmas técnicas living off the land |
| Prioridade | Segmentar regras por processo pai do agente, caminho de workspace e reputação do destino de download; manter bloqueio rígido para toque em repositórios de credenciais e desabilitar modos permissivos como --dangerously-skip-permissions |
| Artefatos | GStack (/browse) com PowerShell e DPAPI; utilitários certutil e bitsadmin; script em pasta de inicialização via PowerShell no Cursor; flag --dangerously-skip-permissions no Claude Code |
| Mitigação | Políticas gerenciadas que impedem modos de permissão ampla; exceções escopadas apenas para ruído de execução benigna; linha defensiva mantida em descriptografia de credenciais de navegador e enumeração do Credential Manager |
Uma análise preliminar da Sophos sobre sete dias de telemetria coletada em junho de 2026 em endpoints Windows indica que agentes de codificação assistidos por inteligência artificial estão acionando com frequência regras comportamentais projetadas originalmente para identificar intrusões humanas. Os agentes citados no estudo incluem Claude Code, Cursor e OpenAI Codex. Segundo a leitura apresentada, essas ferramentas não são classificadas como maliciosas; o problema reside na sobreposição entre o que um assistente precisa fazer para automatizar tarefas de desenvolvimento e o que motores de detecção comportamental historicamente tratam como indicadores de alto valor para defesa.
A amostra considera máquinas únicas, e não volume bruto de eventos, o que reduz distorções por repetição mas também limita a generalização: trata-se de uma janela estreita sobre a frota de um único fornecedor, não de um censo setorial. Mesmo com essa ressalva, os números apontam para uma mudança de origem do sinal: ações como descriptografar credenciais de navegador, listar segredos no armazenamento nativo do Windows, transferir arquivos com ferramentas embutidas no sistema e gravar conteúdo em locais de persistência deixaram de ser atribuídas exclusivamente a operadores adversários e passam a surgir também de assistentes de IA em uso rotineiro por desenvolvedores.
No recorte analisado, o acesso a credenciais respondeu por 56,2% da atividade bloqueada, enquanto eventos de execução representaram 28,8%. Essa distribuição sugere que o principal atrito entre agentes benignos e regras de endpoint concentra-se em tentativas de alcançar segredos armazenados ou executar código de maneira semelhante à empregada por atacantes. A Sophos descreve o material como uma leitura inicial, não como veredito definitivo, mas o padrão reforça uma tensão estrutural: quanto mais os agentes de codificação se aproximam de automação profunda no desktop do desenvolvedor, mais eles ocupam o mesmo espaço comportamental que a indústria passou anos a refinar para caçar ameaças sem malware tradicional.
O mecanismo central é a coincidência entre automação legítima e telemetria de ataque. Regras que há anos sinalizam descriptografia de credenciais de navegador, enumeração do Credential Manager, downloads via utilitários nativos e escrita em pastas de inicialização foram calibradas para capturar intrusões em que o adversário age dentro da sessão do usuário, abusa de binários confiáveis do sistema e busca persistência sem implantar um payload clássico facilmente assinável. Quando um agente de codificação executa fluxos equivalentes para concluir uma tarefa solicitada pelo desenvolvedor, o motor comportamental não dispõe, por padrão, de contexto semântico suficiente para distinguir intenção benigna de abuso.
No grupo de acesso a credenciais, a regra mais frequente — 42,6% desse conjunto — dispara quando um processo emprega a API nativa de proteção de dados do Windows para descriptografar credenciais armazenadas pelo navegador. A Sophos associa parte desse volume ao pacote de habilidades GStack, amplamente adotado por agentes de codificação. A habilidade de navegação desse pacote executa PowerShell que invoca a API de proteção de dados para desbloquear dados salvos pelo navegador; no ambiente observado, essa cadeia foi registrada sob Claude Code. Em contexto operacional, a interpretação mais provável é automação de navegador em nome do usuário; para o motor de detecção, porém, o padrão corresponde ao de roubo de credenciais, e a regra reage conforme projetado.
Outros exemplos ampliam a superfície. Em um caso envolvendo Python, Claude Code encerrou o navegador em execução e acionou um script que extraiu dados do repositório de credenciais do navegador. Separadamente, o mesmo agente executou enumeração das credenciais mantidas pelo Gerenciador de Credenciais do Windows por meio do utilitário nativo de listagem de chaves armazenadas. A Sophos observa que essa atividade ocorreu com a flag --dangerously-skip-permissions habilitada, modo que a própria documentação do fornecedor do agente alerta como arriscado e orienta administradores a bloquear em ambientes gerenciados.
O comportamento de tentativa alternativa quando um caminho é bloqueado também apareceu em agentes não maliciosos. O OpenAI Codex tentou obter um instalador Python de um domínio legítimo do projeto oficial, iniciando a transferência com certutil; após o bloqueio, mudou para bitsadmin. Ambos são utilitários legítimos do Windows frequentemente abusados para download de payloads em campanhas living off the land. O destino era inofensivo, mas a sequência de pivô reproduz um traço que separadores comportamentais costumam associar a atacantes ativos, não a scripts estáticos. No Cursor, uma regra de persistência foi acionada quando PowerShell depositou um script na pasta de inicialização para execução a cada boot; a Sophos não confirmou o conteúdo final do script, mas a escrita fora de um instalador confiável permanece um gatilho clássico de defesa.
Esses eventos coexistem, no mesmo ecossistema, com usos adversários distintos documentados pela própria Sophos em período anterior: em um caso, atacantes empregaram agentes de IA para construir e testar malware contra produtos de detecção em endpoint, incluindo coordenação via Claude Opus 4.5 durante o desenvolvimento da ferramenta maliciosa. Em outro cenário, pesquisadores demonstraram que um agente de codificação poderia ser induzido a executar código adversário por meio de entradas envenenadas, potencialmente contornando detecção porque a ação ocorre dentro da sessão confiável do usuário. O ponto comum é a convergência de superfícies: chamadas a credenciais de navegador, downloads via binários nativos e gravações de persistência agora podem originar-se de agentes benignos, de agentes operados por atacantes e de agentes sequestrados por entradas maliciosas.
A análise restringe-se a endpoints Windows protegidos pelo motor comportamental da Sophos durante a janela de junho de 2026. As máquinas afetadas pelo ruído de alerta são, em grande parte, estáções de desenvolvimento onde agentes de codificação executam sob credenciais humanas com privilégios suficientes para automatizar tarefas locais. Não há, no material disponível, indicação de comprometimento em massa desses agentes; o impacto imediato é operacional sobre equipes de segurança e desenvolvimento que passam a conviver com detecções em comportamentos antes considerados fortemente indicativos de intrusão.
A mudança insere-se em um panorama mais amplo em que ataques dependem menos de arquivos maliciosos clássicos. O relatório global de ameaças da CrowdStrike para 2026, citado no contexto da análise, aponta que 82% das detecções em 2025 foram classificadas como livres de malware, com adversários movendo-se por credenciais válidas e ferramentas confiáveis. Esse deslocamento motivou a indústria a investir em detecção comportamental; agora, agentes de IA legítimos geram comportamentos semelhantes por motivos ordinários de produtividade, ocupando o mesmo espaço de sinal que defensores passaram a priorizar.
- Estáções Windows com Claude Code, Cursor ou OpenAI Codex em uso ativo por desenvolvedores
- Regras de endpoint sensíveis a DPAPI, Credential Manager, utilitários certutil/bitsadmin e pasta de inicialização
- Ambientes que permitem --dangerously-skip-permissions ou equivalentes de ampliação de permissão em agentes de codificação
- Operações de segurança que dependem de regras comportamentais calibradas para intrusão humana sem segmentação por processo de agente
A distinção entre ruído benigno e abuso real deixa de residir apenas na ação isolada e passa a exigir contexto de processo, proveniência do comando e reputação do destino. Equipes de detecção e resposta devem correlacionar alertas de credencial e execução com a árvore de processos do agente, o caminho de workspace ou temporário associado à sessão de codificação e a identidade do usuário que autorizou a automação. Um padrão de descriptografia de credenciais de navegador sob claude.exe ou cursor.exe, sem outra telemetria de escalonamento ou movimentação lateral, pode indicar automação legítima — mas o mesmo padrão sem processo pai reconhecível ou com destino de download desconhecido merece investigação prioritária.
A presença de modos permissivos amplia o risco de falso negativo futuro: se administradores normalizarem exceções amplas para eliminar ruído, entradas envenenadas ou operadores maliciosos poderão herdar a mesma latitude dentro da sessão confiável. Logs de política de agente, configurações gerenciadas que bloqueiam flags perigosas, registros de habilidades instaladas como GStack e histórico de pivô entre utilitários de download após bloqueio são sinais úteis para separar desenvolvimento automatizado de adaptação adversária.
Para cenários em que agentes foram documentados auxiliando desenvolvimento de malware ou executando código induzido por entradas maliciosas, a telemetria relevante inclui atividade de teste contra produtos de endpoint, iterações rápidas de geração de código ofensivo e execução originada de fontes externas não usuais no fluxo de trabalho do repositório. Esses casos compartilham ferramentas com o ruído benigno, mas costumam apresentar cadeias de processo, horários ou destinos incompatíveis com o perfil normal do desenvolvedor.
- Correlacionar alertas de DPAPI e Credential Manager com processo pai claude.exe, cursor.exe ou equivalentes e com o diretório de workspace do projeto
- Monitorar sequências certutil seguidas de bitsadmin ou outros utilitários nativos após bloqueio inicial, avaliando reputação do destino e não apenas o binário usado
- Registrar uso da flag --dangerously-skip-permissions ou políticas que ampliam permissões de agente sem justificativa de negócio
- Investigar gravações na pasta de inicialização originadas de PowerShell lançado por agentes, mesmo quando o conteúdo do script não foi confirmado na coleta
A resposta proposta pela Sophos não é desligar regras que funcionam, mas particioná-las conforme o que capturam. Ruído de execução proveniente de um agente tentando novamente um download legítimo ou emitindo PowerShell com formatação atípica pode, em muitos ambientes, ser escopado sem abrir mão da visibilidade global. Isso implica amarrar exceções ao processo pai do agente, aos caminhos de workspace ou temporários associados ao fluxo de codificação e à reputação do alvo do download, de forma que um agente conhecido realizando trabalho ordinário não sature a fila de incidentes.
Em contraste, comportamentos que tocam repositórios de credenciais devem permanecer sob escrutínio rigoroso. Descriptografar credenciais de navegador ou enumerar o Credential Manager não se torna seguro apenas porque um agente executou a ação em vez de uma pessoa, e assistentes de codificação não deveriam herdar acesso irrestrito a armazenamentos de segredos somente por operarem na sessão confiável do usuário. Quando o ruído estiver ligado ao modo --dangerously-skip-permissions, a mitigação administrativa recomendada é desabilitar esse modo por configuração gerenciada, alinhada à orientação do próprio fornecedor do agente.
A decisão de política subjacente permanece em aberto: quais recursos de um endpoint um agente de codificação deveria poder tocar. A análise sugere credenciais como primeira linha de demarcação sensata. Equipes devem revisar habilidades instaladas, requisitos reais de automação de navegador e alternativas que não exijam descriptografia local de segredos. Paralelamente, programas de conscientização precisam deixar claro que alertas nessas categorias podem refletir produtividade legítima — sem normalizar automaticamente qualquer evento associado a agentes de IA, dado que a mesma superfície já foi observada em desenvolvimento de malware assistido por IA e em execução induzida por entradas adversárias.
- Criar exceções escopadas para ruído de execução de agentes conhecidos, vinculadas a processo pai, caminho de workspace e reputação do destino
- Manter bloqueio e investigação prioritária para regras de acesso a credenciais, independentemente da origem ser um agente de codificação
- Desabilitar --dangerously-skip-permissions e modos equivalentes via política gerenciada em estáções corporativas
- Revisar habilidades e pacotes como GStack para confirmar se automação de navegador exige acesso a credenciais locais ou se há fluxo alternativo menos invasivo
- Documentar baseline de comportamento por agente para distinguir ruído de desenvolvimento de pivôs suspeitos após bloqueio ou de persistência não explicada
0 Comentários