Agenci AI do programowania uruchamiają reguły EDR przeznaczone do wykrywania ataków - Security Bez Tabu

Agenci AI do programowania uruchamiają reguły EDR przeznaczone do wykrywania ataków

Cybersecurity news

Wprowadzenie do problemu

Rosnąca popularność agentów AI wspierających programowanie zmienia sposób, w jaki zespoły bezpieczeństwa interpretują aktywność na stacjach roboczych deweloperów. Narzędzia takie jak asystenci kodowania, automatyzacja testów czy agenci wykonujący polecenia w kontekście użytkownika potrafią realizować działania, które z perspektywy systemów EDR wyglądają niemal identycznie jak techniki stosowane przez intruzów.

Problem nie sprowadza się wyłącznie do fałszywych alarmów. Coraz częściej dochodzi do zatarcia granicy między legalną automatyzacją a zachowaniami, które przez lata były uznawane za silny wskaźnik kompromitacji endpointu.

W skrócie

  • Agenci AI do kodowania zaczęli regularnie wyzwalać reguły bezpieczeństwa punktów końcowych.
  • Najczęściej dotyczy to dostępu do poświadczeń, uruchamiania kodu oraz pobierania plików narzędziami systemowymi.
  • Zjawisko utrudnia pracę SOC, ponieważ te same wzorce mogą oznaczać zarówno atak, jak i legalne działanie asystenta AI.
  • Największym wyzwaniem staje się dziś analiza kontekstowa, a nie sama obserwacja pojedynczej akcji.

Kontekst i historia

Przez lata systemy EDR były dostrajane do wykrywania aktywności charakterystycznej dla operatorów ataków lub złośliwego oprogramowania. Wysoką wagę przypisywano zwłaszcza sygnałom związanym z kradzieżą poświadczeń, nadużywaniem wbudowanych narzędzi systemowych oraz mechanizmami utrwalania dostępu.

Zmiana nastąpiła wraz z upowszechnieniem agentów AI, które zaczęły wykonywać podobne operacje w ramach codziennych zadań deweloperskich. Automatyzacja pracy z przeglądarką, testami, repozytoriami i środowiskiem systemowym sprawiła, że część dawnych heurystyk przestała być jednoznaczna.

To zjawisko wpisuje się w szerszy trend w cyberbezpieczeństwie, w którym nowoczesne ataki coraz częściej wykorzystują legalne poświadczenia, zaufane narzędzia administracyjne oraz działania bez klasycznego malware. W takim modelu sam fakt wykonania danej czynności nie wystarcza już do oceny ryzyka.

Analiza techniczna

Najbardziej problematyczną kategorią zdarzeń okazały się operacje związane z dostępem do poświadczeń. W analizowanych przypadkach obserwowano użycie mechanizmów takich jak Windows Data Protection API do odszyfrowywania danych przechowywanych przez przeglądarki. Z punktu widzenia EDR takie zachowanie od dawna kojarzone jest z próbą wykradania sekretów z endpointu.

W praktyce agent AI może jednak wykonywać podobną operację w ramach automatyzacji sesji użytkownika, testów logowania lub pracy z aplikacją webową. Dla silnika detekcji wzorzec pozostaje niemal taki sam, mimo że intencja może być inna.

Zaobserwowano również scenariusze, w których agent zamykał aktywną przeglądarkę, a następnie uruchamiał skrypt odczytujący dane z magazynu poświadczeń. W innych przypadkach wykonywano polecenia służące do enumeracji wpisów w Windows Credential Manager. Jeżeli dodatkowo agent działa bez rygorystycznych ograniczeń akceptacji operacji, jego zdolność do dotykania wrażliwych zasobów rośnie do poziomu bardzo zbliżonego do aktywności przeciwnika.

Drugą istotną grupę zdarzeń stanowiło użycie narzędzi typu living off the land. Gdy jedna metoda pobrania pliku była blokowana, agent potrafił przełączyć się na alternatywne narzędzie systemowe. Przykładem były próby pobierania plików za pomocą certutil lub bitsadmin. Tego typu adaptacyjne zmienianie techniki po niepowodzeniu jest szczególnie kłopotliwe, ponieważ historycznie uznawano je za cechę aktywnego atakującego.

Odnotowano też zachowania związane z utrwalaniem, takie jak zapisywanie skryptów w folderze autostartu przy użyciu PowerShell. Nawet jeśli działanie miało uzasadnienie operacyjne, sam mechanizm odpowiada wzorcowi wykorzystywanemu przez napastników do zapewnienia uruchamiania kodu po restarcie systemu.

Konsekwencje i ryzyko

Najważniejszym skutkiem jest wzrost liczby alertów bezpieczeństwa na stacjach deweloperskich oraz pogorszenie jakości sygnału dla zespołów SOC. Gdy organizacja wdraża agentów AI na większą skalę, analitycy częściej otrzymują zdarzenia, których nie można łatwo uznać ani za incydent, ani za bezpieczne odstępstwo.

Prowadzi to do zmęczenia alertami, wydłużenia czasu analizy i zwiększenia kosztów obsługi. Jednocześnie rośnie ryzyko, że rzeczywiste nadużycie zostanie ukryte wśród bardzo podobnych wzorców generowanych przez legalne narzędzia.

Drugim zagrożeniem jest nadmierne zaufanie do procesu działającego w kontekście legalnego użytkownika. Jeżeli agent AI ma dostęp do przeglądarki, plików roboczych, tokenów sesyjnych lub poświadczeń systemowych, jego kompromitacja albo manipulacja wejściem może pozwolić na wykonanie niebezpiecznych działań trudnych do wykrycia tradycyjnymi metodami.

Szczególnie istotne są tu scenariusze prompt injection, skażonych repozytoriów, złośliwych konfiguracji oraz poleceń pochodzących z niezweryfikowanego źródła. W takich przypadkach agent może stać się pośrednikiem ataku, mimo że sam nie jest narzędziem zaprojektowanym do działań ofensywnych.

Rekomendacje

Organizacje powinny wdrożyć oddzielne polityki bezpieczeństwa dla agentów AI używanych przez deweloperów. Obejmuje to profilowanie procesów nadrzędnych i potomnych związanych z konkretnym narzędziem, ograniczanie dostępu do magazynów poświadczeń oraz ścisłe monitorowanie operacji wykonywanych poza katalogami roboczymi projektu.

  • Utrzymać wysoki poziom kontroli nad operacjami dotyczącymi poświadczeń, danych przeglądarki i sekretów.
  • Dostroić reguły dla nietypowego pobierania plików oraz uruchamiania kodu z uwzględnieniem kontekstu aplikacyjnego.
  • Blokować tryby działania ograniczające mechanizmy zgód i potwierdzeń użytkownika.
  • Uruchamiać agentów w środowiskach odseparowanych i zgodnych z zasadą least privilege.
  • Stosować rotację tokenów, segregację sekretów oraz jawne polityki dostępu do przeglądarek i narzędzi administracyjnych.

Po stronie SOC kluczowe staje się wzbogacanie detekcji o telemetrię kontekstową. Znaczenie mają nie tylko sama akcja i użyte polecenie, ale również proces nadrzędny, linia komend, źródło artefaktu, reputacja pobieranego pliku, lokalizacja docelowa oraz historia podobnych działań wykonywanych przez danego użytkownika lub agenta.

Podsumowanie

Agenci AI do programowania stają się nowym elementem krajobrazu zagrożeń endpoint security. Nie są z definicji złośliwi, ale wykonują operacje, które przez lata stanowiły podstawę skutecznej detekcji intruzów.

W efekcie organizacje muszą odejść od modelu opartego wyłącznie na pojedynczych zachowaniach i przejść do analizy kontekstowej, uwzględniającej tożsamość procesu, uprawnienia, źródło poleceń oraz zakres dostępu do sekretów. To właśnie poświadczenia i mechanizmy uruchamiania kodu w zaufanym kontekście użytkownika powinny stać się głównym punktem nowych polityk bezpieczeństwa dla agentów AI.

Źródła

  1. AI Coding Agents Found Triggering Endpoint Security Rules Built to Catch Attackers