
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Narzędzia typu AI coding agent coraz częściej działają bezpośrednio na stacjach roboczych programistów, automatyzując pisanie kodu, testy, instalację zależności oraz obsługę lokalnego środowiska. Problem polega na tym, że część ich aktywności z perspektywy systemów EDR i detekcji behawioralnej wygląda niemal identycznie jak działania prowadzone przez intruzów.
W praktyce legalne operacje wykonywane przez asystentów AI mogą uruchamiać reguły bezpieczeństwa zaprojektowane do wykrywania kradzieży poświadczeń, nadużyć narzędzi systemowych oraz mechanizmów persistence. To nowy problem operacyjny dla zespołów bezpieczeństwa, które muszą odróżniać dozwoloną automatyzację od rzeczywistego incydentu.
W skrócie
- Badania telemetryczne pokazały, że agenci AI do programowania generują zachowania podobne do aktywności malware i narzędzi post-exploitation.
- Zaobserwowano m.in. użycie DPAPI, enumerację Credential Manager, pobieranie plików przez certutil i bitsadmin oraz zapisy do autostartu.
- Choć działania te nie muszą być złośliwe, ich profil behawioralny pokrywa się z technikami regularnie monitorowanymi przez EDR.
- Efektem jest wzrost szumu alertowego, trudniejszy triage i większe ryzyko przeoczenia realnego ataku.
Kontekst / historia
W ostatnich latach ochrona endpointów przesunęła się z prostego wykrywania szkodliwych plików w stronę analizy zachowań procesów, relacji rodzic–dziecko, dostępu do poświadczeń oraz nadużyć legalnych narzędzi systemowych. Taki model był odpowiedzią na wzrost ataków bezplikowych i technik living-off-the-land.
Pojawienie się autonomicznych agentów AI uruchamianych lokalnie zmienia jednak ten krajobraz. Asystent wspierający dewelopera może zatrzymywać procesy, uruchamiać PowerShell, pobierać komponenty, instalować interpretery i manipulować danymi przeglądarki lub środowiska testowego. Dla systemu EDR kluczowa nie jest intencja użytkownika, ale obserwowany wzorzec aktywności.
Analiza techniczna
Najważniejszy wniosek jest taki, że część agentów AI wykonuje operacje od dawna uznawane za sygnały wysokiego ryzyka. Jednym z przykładów jest użycie Windows Data Protection API do odszyfrowywania zapisanych danych przeglądarki. To legalny mechanizm systemowy, ale z perspektywy obrony jego wykorzystanie do dostępu do sekretów bywa kojarzone z infostealerami i narzędziami przejmującymi sesje.
W analizowanych scenariuszach obserwowano także zatrzymywanie aktywnej przeglądarki, a następnie uruchamianie skryptów pobierających informacje z magazynu poświadczeń. Taki łańcuch zdarzeń przypomina procedury stosowane podczas kradzieży haseł lub tokenów sesyjnych. Dodatkowo pojawiła się enumeracja danych z Windows Credential Manager przy użyciu polecenia cmdkey /list.
Kolejnym obszarem były operacje pobierania plików z użyciem certutil i bitsadmin. Oba narzędzia są natywnie dostępne w systemie Windows i od lat bywają nadużywane przez operatorów malware w ramach technik LOLBin. Szczególnie istotne jest to, że agent potrafił zmieniać metodę pobrania po niepowodzeniu pierwszej próby, co przypomina adaptacyjne zachowanie spotykane u bardziej zaawansowanych przeciwników.
Odnotowano również zapis skryptu do folderu autostartu przy pomocy PowerShell. Niezależnie od intencji taki zapis do lokalizacji uruchamianej przy starcie systemu jest klasycznym wskaźnikiem persistence i w środowiskach korporacyjnych zwykle wymaga szybkiej weryfikacji.
Problem nie wynika więc z pojedynczej podatności, ale z kolizji dwóch trendów: rosnącej autonomii agentów AI oraz coraz większej zależności obrony od detekcji behawioralnej. Jeżeli agent działa w kontekście zaufanego użytkownika i korzysta z jego uprawnień, granica między legalną automatyzacją a aktywnością podejrzaną zaczyna się zacierać.
Konsekwencje / ryzyko
Najbardziej oczywistym skutkiem jest wzrost liczby alertów na stacjach roboczych programistów. Taki szum może prowadzić do zmęczenia analityków SOC, opóźnień w triage oraz błędnej klasyfikacji zdarzeń. Jeżeli organizacja zbyt szeroko wyciszy reguły wyzwalane przez agentów AI, może jednocześnie obniżyć zdolność wykrywania realnych incydentów wykorzystujących identyczne techniki.
Drugim ryzykiem jest nadmierne zaufanie do narzędzi działających w kontekście konta użytkownika. Sam fakt, że operację inicjuje asystent AI, nie oznacza jeszcze, że dostęp do poświadczeń, danych przeglądarki czy autostartu powinien być akceptowany. Te czynności pozostają wrażliwe bez względu na to, czy wykonuje je człowiek, malware czy agent wspierający dewelopera.
Nie można też pominąć scenariuszy nadużycia. Jeśli agent jest podatny na zatrute wejście, manipulację promptem, złośliwe repozytorium lub niebezpieczną konfigurację, to te same uprawnienia, które dziś powodują fałszywe alarmy, jutro mogą posłużyć do wykonania rzeczywiście złośliwego kodu.
Rekomendacje
- Rozdziel polityki detekcji dla stacji deweloperskich i pozostałych endpointów, uwzględniając specyfikę pracy agentów AI.
- Nie wyciszaj automatycznie alertów związanych z poświadczeniami, DPAPI, Credential Manager czy mechanizmami persistence.
- Wdróż centralne zarządzanie konfiguracją agentów i blokuj tryby ograniczające nadzór lub zgody użytkownika.
- Monitoruj procesy potomne uruchamiane przez agentów, zwłaszcza PowerShell, cmd, python oraz inne narzędzia LOLBin.
- Stosuj separację sekretów, tokeny o minimalnych uprawnieniach oraz izolowane środowiska uruchomieniowe.
- Zaktualizuj procedury triage tak, aby alert generowany przez agenta AI nie był z góry uznawany za fałszywie dodatni.
Podsumowanie
Agenci AI do programowania stają się nowym źródłem aktywności, która z perspektywy platform EDR wygląda jak klasyczne techniki ataku. Nie oznacza to automatycznie, że same narzędzia są złośliwe, ale potwierdza, że bezpieczeństwo endpointów w erze agentów wymaga nowego modelu kontroli, nadzoru i strojenia reguł.
Dla organizacji najważniejszy wniosek jest praktyczny: należy utrzymać wysoką czułość wobec dostępu do poświadczeń i mechanizmów autostartu, a jednocześnie precyzyjnie dopasować polityki bezpieczeństwa do legalnych scenariuszy pracy agentów. W przeciwnym razie zespoły SOC będą zmuszone wybierać między nadmiarem alertów a utratą widoczności na realne techniki wykorzystywane przez atakujących.
Źródła
- https://thehackernews.com/2026/07/ai-coding-agents-found-triggering.html
- https://www.sophos.com/en-us/content/ai-coding-agents-triggering-endpoint-security-rules
- https://news.sophos.com/en-us/2026/06/11/attackers-are-using-ai-agents-to-build-malware/
- https://www.crowdstrike.com/global-threat-report/
- https://docs.anthropic.com/en/docs/claude-code