ИИ-помощники программистов заставляют срабатывать антивирусы. Они считают, что их атакуют
Некоторые штатные действия ИИ-программистов вызвали ложные срабатывания у поведенческих детекторов антивирусов Sophos. И дело не в недостатках самих антивирусов и не в ошибках ИИ-агентов.
А что это вы тут делаете?
ИИ-ассистенты, предназначенные для написания кода, такие как Claude Code, Cursor и OpenAI Codex, вызывают ложные срабатывания у некоторых антивирусных систем, а точнее - у их модулей распознавания вредоносного поведения.
Такие выводы сделали исследователи фирмы Sophos на основе семидневного сбора телеметрии с множества конечных точек, где установлены и ИИ-ассистенты (агенты), и антивирусы компании.
Сами по себе агенты не являются вредоносными, однако ряд действий, которые они выполняют в рамках выполнения выданных им заданий, для антивирусных систем неотличим от вредоносной активности.
Расшифровка учетных данных браузера, составление списка содержимого хранилища учётных данных Windows, загрузка файлов с помощью встроенных системных инструментов, запись в папку автозагрузки: всё это - давно является признаками вредоносной активности.
Но на тех машинах, которые попали в поле зрение Sophos, эти действия осуществляли именно ИИ-агенты, занятые выполнением рутинных задач.
Анализ основан на данных телеметрии за семь дней, начиная с июня 2026 г., полученных с помощью поведенческого механизма Sophos на Windows и учитывающих количество уникальных машин, а не общий объем событий. Эту подборку не следует рассматривать как репрезентативную для всей отрасли: речь идёт только о программных инструментах одного поставщика.
Результаты, тем не менее, интересные. По подсчётам Sophos, на получение доступа к учётным данным пришлось 56,2% заблокированной активности, а на выполнение кода - 28,8%. Агенты пытаются получить доступ к сохранённым конфиденциальным данным или запустить код совершенно так же, как это делают злоумышленники.
Чаще всего (в 42,6% случаев) происходит срабатывание, если процесс, запущенный ИИ-агентом, использует встроенный в Windows API защиты данных (DPAPI) для расшифровки сохраненных в браузере данных учетных данных.
В публикации Sophos указывается, что GStack - это широко распространённый набор «навыков» для ИИ-программистов.
Один из них - /browse - запускает PowerShell, который, в свою очередь, вызывает DPAPI для разблокировки сохраненных данных браузера. На наблюдаемых машинах так работал Claude Code. В текущем контексте это почти гарантированно исходило от средств автоматизации браузера (запущенных, понятное дело, от имени пользователя).
Но для средств обнаружения антивируса этот алгоритм выглядел как типичная атака с целью кражи реквизитов доступа, с соответствующей реакцией.
Плохое поведение
Claude Code также провоцировал реакцию антивирусного движка Sophos тем, что закрывал запущенный браузер и запускал скрипт для извлечения данные из его хранилища реквизитов доступа. Одновременно он запускал команду cmdkey /list для перечисления учетных данных, хранящихся в диспетчере учетных данных Windows.
Что характерно, Claude Code работал с выставленным флагом --dangerously-skip-permissions; этот режим даже в собственной документации Anthropic обозначен как небезопасный, его рекомендуется блокировать (и даже объясняется, как именно).
Если какой-то алгоритм не срабатывает или блокируется, ИИ-агент предпринимает попытки действовать иначе.
Например, OpenAI Codex попытался загрузить установщик Python с официального сайта python.org, задействовав утилиту certutil - встроенный инструмент командной строки Windows, используемый для задач системного администрирования, таких как загрузка файлов или проверка их хэшей.
Эта последовательность была заблокирована антивирусом; тогда Codex переключился на bitsadmin - другую легитимную утилиту. Проблема в том, что злоумышленники регулярно используют и certutil, и bitsadmin для подгрузки вредоносных программ. Соответственно, и на это антивирус среагировал как положено.
Cursor, в свою очередь, спровоцировал срабатывание отдельно взятого правила, которое на самом деле предназначено для противодействия попыткам вредоносных программ обеспечить себе постоянство присутствия в системе.
Cursor с помощью PowerShell для записи скрипта в папку автозагрузки, который запускался при каждой загрузке системы.
В то время как исследователи Sophos не смогли определить, что именно делал этот скрипт, сам алгоритм действий Cursor - запись в папку автозагрузки вне доверенного установщика — типичен именно для вредоносных дропперов, соответственно, защитные инструменты заблокировали это поведение.
Sophos ранее задокументировал и однозначно вредоносные действия, которые были предприняты ИИ-агентами: злоумышленники использовали их для разработки и тестирования программ для вывода из строя EDR-систем. Разработка велась, судя по всему, в частично автономном режиме: ИИ-агенты использовали Claude Opus 4.5 для координации разработки.
В другом случае исследователи показали, что ИИ-программиста можно обманом заставить выполнить код злоумышленника, используя «отравление» входных данных. Цепочка действий может обойти EDR-систему, поскольку агент действует внутри доверенной сессии пользователя.
Хотя это отдельные, изолированные инциденты, общая тенденция налицо, пишет издание The Hacker News: одни и те же действия, которые поведенческие детекторы считают угрозой, могут исходить от ИИ-агентов, причём как осуществляющих легитимную деятельность, так и вредоносных или скомпрометированных. Соответственно, прежние алгоритмы работы антивирусных модулей, использующих поведенческий анализ, придётся в самом скором времени пересматривать.
«Ирония в том, что поведенческий анализ долгое время считался прерогативой самых передовых защитных инструментов, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Может показаться, что ИИ превратил эту функциональность в слабое место, но на самом деле, проблем сравнительно легко решается путём перенастройки правил и указания исключений. В идеале, впрочем, ИИ-агенты должны функционировать в изолированной среде, созданной специально для них, чтобы избежать возможных рисков от ошибок с их стороны - или злонамеренных действий извне».
Разработчики, которые запускают ИИ-агенты под своими учетными записями, скорее всего, столкнутся с ложными срабатываниями антивирусов.
Sophos рекомендует разделять правила по источникам перехватываемых сигналов. «Шум выполнения» от повторяющихся попыток ИИ-агента что-то скачать или отправить некорректно отформатированные сообщения PowerShell обычно можно распознать.
Поэтому рекомендуется привязать правило к родительскому процессу агента (claude.exe, cursor.exe и их дочерним процессам), его рабочей области или пути к временным файлам, либо к репутации целевого объекта загрузки. Это предотвратит генерацию оповещений со стороны антивируса на действия агента, выполняющим рутинные задачи.
В то же время, ИИ-агент не должен получать неограниченный доступ к хранилищам учетных данных только потому, что он работает под учётной записью доверенного пользователя, - это в любом случае небезопасно. Если проблема связана с режимом --dangerously-skip-permissions в Claude Code, этот режим следует нейтрализовать через управляемые настройки.
Информации о том, наблюдались ли подобные ситуации у других вендоров антивирусов, пока нет.




