Спецпроекты

Безопасность Администратору Пользователю Стратегия безопасности Техника

ИИ-помощники программистов заставляют срабатывать антивирусы. Они считают, что их атакуют

Некоторые штатные действия ИИ-программистов вызвали ложные срабатывания у поведенческих детекторов антивирусов Sophos. И дело не в недостатках самих антивирусов и не в ошибках ИИ-агентов.

А что это вы тут делаете?

ИИ-ассистенты, предназначенные для написания кода, такие как Claude Code, Cursor и OpenAI Codex, вызывают ложные срабатывания у некоторых антивирусных систем, а точнее - у их модулей распознавания вредоносного поведения.

Такие выводы сделали исследователи фирмы Sophos на основе семидневного сбора телеметрии с множества конечных точек, где установлены и ИИ-ассистенты (агенты), и антивирусы компании.

Сами по себе агенты не являются вредоносными, однако ряд действий, которые они выполняют в рамках выполнения выданных им заданий, для антивирусных систем неотличим от вредоносной активности.

Штатные действия ИИ-программистов вызывают ложные срабатывания у поведенческих детекторов антивирусов Sophos

Расшифровка учетных данных браузера, составление списка содержимого хранилища учётных данных Windows, загрузка файлов с помощью встроенных системных инструментов, запись в папку автозагрузки: всё это - давно является признаками вредоносной активности.

Но на тех машинах, которые попали в поле зрение Sophos, эти действия осуществляли именно ИИ-агенты, занятые выполнением рутинных задач.

Анализ основан на данных телеметрии за семь дней, начиная с июня 2026 г., полученных с помощью поведенческого механизма Sophos на Windows и учитывающих количество уникальных машин, а не общий объем событий. Эту подборку не следует рассматривать как репрезентативную для всей отрасли: речь идёт только о программных инструментах одного поставщика.

Результаты, тем не менее, интересные. По подсчётам Sophos, на получение доступа к учётным данным пришлось 56,2% заблокированной активности, а на выполнение кода - 28,8%. Агенты пытаются получить доступ к сохранённым конфиденциальным данным или запустить код совершенно так же, как это делают злоумышленники.

Чаще всего (в 42,6% случаев) происходит срабатывание, если процесс, запущенный ИИ-агентом, использует встроенный в Windows API защиты данных (DPAPI) для расшифровки сохраненных в браузере данных учетных данных.

В публикации Sophos указывается, что GStack - это широко распространённый набор «навыков» для ИИ-программистов.

Один из них - /browse - запускает PowerShell, который, в свою очередь, вызывает DPAPI для разблокировки сохраненных данных браузера. На наблюдаемых машинах так работал Claude Code. В текущем контексте это почти гарантированно исходило от средств автоматизации браузера (запущенных, понятное дело, от имени пользователя).

Но для средств обнаружения антивируса этот алгоритм выглядел как типичная атака с целью кражи реквизитов доступа, с соответствующей реакцией.

Плохое поведение

Claude Code также провоцировал реакцию антивирусного движка Sophos тем, что закрывал запущенный браузер и запускал скрипт для извлечения данные из его хранилища реквизитов доступа. Одновременно он запускал команду cmdkey /list для перечисления учетных данных, хранящихся в диспетчере учетных данных Windows.

Что характерно, Claude Code работал с выставленным флагом --dangerously-skip-permissions; этот режим даже в собственной документации Anthropic обозначен как небезопасный, его рекомендуется блокировать (и даже объясняется, как именно).

Если какой-то алгоритм не срабатывает или блокируется, ИИ-агент предпринимает попытки действовать иначе.

Например, OpenAI Codex попытался загрузить установщик Python с официального сайта python.org, задействовав утилиту certutil - встроенный инструмент командной строки Windows, используемый для задач системного администрирования, таких как загрузка файлов или проверка их хэшей.

Эта последовательность была заблокирована антивирусом; тогда Codex переключился на bitsadmin - другую легитимную утилиту. Проблема в том, что злоумышленники регулярно используют и certutil, и bitsadmin для подгрузки вредоносных программ. Соответственно, и на это антивирус среагировал как положено.

Cursor, в свою очередь, спровоцировал срабатывание отдельно взятого правила, которое на самом деле предназначено для противодействия попыткам вредоносных программ обеспечить себе постоянство присутствия в системе.

Cursor с помощью PowerShell для записи скрипта в папку автозагрузки, который запускался при каждой загрузке системы.

В то время как исследователи Sophos не смогли определить, что именно делал этот скрипт, сам алгоритм действий Cursor - запись в папку автозагрузки вне доверенного установщика — типичен именно для вредоносных дропперов, соответственно, защитные инструменты заблокировали это поведение.

Sophos ранее задокументировал и однозначно вредоносные действия, которые были предприняты ИИ-агентами: злоумышленники использовали их для разработки и тестирования программ для вывода из строя EDR-систем. Разработка велась, судя по всему, в частично автономном режиме: ИИ-агенты использовали Claude Opus 4.5 для координации разработки.

В другом случае исследователи показали, что ИИ-программиста можно обманом заставить выполнить код злоумышленника, используя «отравление» входных данных. Цепочка действий может обойти EDR-систему, поскольку агент действует внутри доверенной сессии пользователя.

Хотя это отдельные, изолированные инциденты, общая тенденция налицо, пишет издание The Hacker News: одни и те же действия, которые поведенческие детекторы считают угрозой, могут исходить от ИИ-агентов, причём как осуществляющих легитимную деятельность, так и вредоносных или скомпрометированных. Соответственно, прежние алгоритмы работы антивирусных модулей, использующих поведенческий анализ, придётся в самом скором времени пересматривать.

«Ирония в том, что поведенческий анализ долгое время считался прерогативой самых передовых защитных инструментов, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Может показаться, что ИИ превратил эту функциональность в слабое место, но на самом деле, проблем сравнительно легко решается путём перенастройки правил и указания исключений. В идеале, впрочем, ИИ-агенты должны функционировать в изолированной среде, созданной специально для них, чтобы избежать возможных рисков от ошибок с их стороны - или злонамеренных действий извне».

Разработчики, которые запускают ИИ-агенты под своими учетными записями, скорее всего, столкнутся с ложными срабатываниями антивирусов.

Sophos рекомендует разделять правила по источникам перехватываемых сигналов. «Шум выполнения» от повторяющихся попыток ИИ-агента что-то скачать или отправить некорректно отформатированные сообщения PowerShell обычно можно распознать.

Поэтому рекомендуется привязать правило к родительскому процессу агента (claude.exe, cursor.exe и их дочерним процессам), его рабочей области или пути к временным файлам, либо к репутации целевого объекта загрузки. Это предотвратит генерацию оповещений со стороны антивируса на действия агента, выполняющим рутинные задачи.

В то же время, ИИ-агент не должен получать неограниченный доступ к хранилищам учетных данных только потому, что он работает под учётной записью доверенного пользователя, - это в любом случае небезопасно. Если проблема связана с режимом --dangerously-skip-permissions в Claude Code, этот режим следует нейтрализовать через управляемые настройки.

Информации о том, наблюдались ли подобные ситуации у других вендоров антивирусов, пока нет.

Роман Георгиев

Короткая ссылка