Sophos bekeek een week lang zijn eigen eindpuntgegevens en ontdekte dat AI-codeermiddelen zoals Claude Code, Cursor en OpenAI Codex detectieregels in werking stellen die zijn geschreven om menselijke indringers te vangen.
De agenten zijn niet kwaadaardig. Ze doen gewoon een heleboel dingen die, voor een gedragsmotor, precies op een aanval lijken.
Het ontsleutelen van de inloggegevens van de browser, het opsommen van wat zich in het inloggegevensarchief van Windows bevindt, het ophalen van bestanden met ingebouwde systeemtools, het schrijven naar de opstartmap: dit zijn lange tijd een belangrijk signaal geweest voor verdedigers.
Wat er veranderd is, is wie het genereert. Op de machines die Sophos bekeek, was het vaak de AI-assistent van een ontwikkelaar die het gewone werk deed.
Wat de alarmen heeft doen afgaan
De analyse is gebaseerd op zeven dagen telemetrie uit juni 2026, afkomstig uit de gedragsengine van Sophos op Windows en geteld op basis van unieke machines, en niet op basis van het ruwe gebeurtenisvolume. Het is een smal venster op de vloot van één leverancier, geen branchetelling.
De grafieken van Sophos schatten de toegang tot inloggegevens op 56,2 procent van de geblokkeerde activiteit en de uitvoering op 28,8 procent: agenten die naar opgeslagen geheimen reiken of code uitvoeren zoals aanvallers dat doen.
De grootste toegangsregel voor inloggegevens, bij 42,6 procent van die groep, wordt geactiveerd wanneer een proces de ingebouwde Data Protection API (DPAPI) van Windows gebruikt om de in de browser opgeslagen inloggegevens te ontsleutelen. Sophos noemt GStack een algemeen gebruikt vaardighedenpakket voor codeeragenten.
De /browse-vaardigheid doet precies dat, waarbij PowerShell wordt uitgevoerd die DPAPI aanroept om opgeslagen browsergegevens te ontgrendelen. Sophos zag het draaien onder Claude Code. In de context is het vrijwel zeker browserautomatisering namens de gebruiker. Voor de detectie-engine is het diefstal van inloggegevens, en de regel is om te vuren.
Sommige Python-voorbeelden zagen er op papier slechter uit. In één geval sloot Claude Code de actieve browser af en voerde een script uit dat gegevens uit de inloggegevens ophaalde.
Afzonderlijk werd cmdkey /list uitgevoerd om de inloggegevens op te sommen die Windows Credential Manager bezat. Sophos merkt op dat Claude Code hier draaide met de vlag –dangerably-skip-permissions ingesteld, een modus waar Anthropic’s eigen documentatie voor waarschuwt en beheerders vertelt hoe ze deze moeten blokkeren.

Wanneer de ene aanpak mislukt, probeert een agent een andere. OpenAI Codex deed precies dat, door een Python-installatieprogramma op te halen van het echte python.org, te beginnen met certutil. Dat werd geblokkeerd, dus schakelde het over naar bitsadmin. Beide zijn legitieme Windows-hulpprogramma’s die aanvallers routinematig misbruiken om ladingen op te halen en van het land te leven.
Het doelwit was onschadelijk, maar het punt van Sophos is dat dit pivot-when-blocked-gedrag een live aanvaller scheidt van een statisch script, en goedaardige agenten doen dit nu ook.
Cursor heeft een persistentieregel geactiveerd door PowerShell te gebruiken om een opstartmapscript te verwijderen dat elke keer dat de machine opstartte, werd uitgevoerd. Sophos kon niet bevestigen wat het script deed, maar schrijven om op te starten buiten een vertrouwd installatieprogramma is iets wat verdedigers meteen signaleren.
AI-agenten aan beide kanten van de lijn
De keerzijde is al zichtbaar. Een maand eerder documenteerde Sophos een aanvaller die AI-agents gebruikte om malware tegen EDR-producten te bouwen en te testen. Een van hen draaide Claude Opus 4.5 om het werk te coördineren.
Dat was ontwikkelingstijd: agenten die een aanvaller hielpen betere tools te schrijven. Agenten worden tijdens runtime ook ingeschakeld tegen hun eigen gebruikers. In een apart geval toonden onderzoekers aan dat een codeeragent misleid kon worden om code van de aanvaller uit te voeren via vergiftigde invoer, een keten die voorbij EDR kan glippen omdat de agent handelt binnen de vertrouwde sessie van de gebruiker.

Dit zijn afzonderlijke gebeurtenissen met verschillende regels, maar ze delen een oppervlak: browserreferenties, LOLBin-downloads en opstartschrijfbewerkingen komen nu van goedaardige agenten, door aanvallers gerunde agenten en gekaapte agenten.
Daarom vertelt de rauwe actie je minder dan vroeger. En het zit in een grotere verandering in hoe indringers eruit zien. Uit het Global Threat Report 2026 van CrowdStrike blijkt dat 82 procent van de detecties in 2025 malwarevrij was, waarbij aanvallers via geldige inloggegevens en vertrouwde tools gingen in plaats van bestanden te laten vallen.
Die verschuiving is wat detectie in de eerste plaats richting gedrag heeft geduwd. AI-agenten genereren nu om gewone redenen hetzelfde gedrag, waarbij ze het exacte signaal verdringen waar verdedigers op vertrouwden.
Wat het betekent voor verdedigers
Als ontwikkelaars deze agenten onder hun eigen accounts uitvoeren, kun je verwachten dat eindpuntregels op hun machines worden geactiveerd. Het antwoord van Sophos is om de regels te splitsen op basis van wat ze vangen. Het uitvoeringsgeluid van een agent die een download opnieuw probeert of een vreemd geformatteerde PowerShell uitzendt, kan meestal worden beperkt.
Koppel de regel aan het bovenliggende proces van de agent (claude.exe, cursor.exe en hun onderliggende processen), de werkruimte of het tijdelijke pad, of de reputatie van het downloaddoel. Dat voorkomt dat een bekende agent die gewoon werk doet, waarschuwingen genereert.
Bij gedrag dat uw identiteit aanraakt, houdt u de grens vast. Het ontsleutelen van browserreferenties of het opsommen van Credential Manager wordt niet veilig omdat een agent dit heeft gedaan in plaats van een persoon, en een agent mag geen algemene toegang tot credential-archieven overnemen alleen maar omdat deze onder een vertrouwde gebruiker draait. Als het geluid afkomstig is van de modus –gevaarlijk-skip-permissies van Claude Code, schakel die modus dan uit via de beheerde instellingen.
Sophos noemt dit een vroege lezing, geen oordeel, en merkt op dat de verschuiving nog steeds klein is, ook al is de richting duidelijk. De open beleidsvraag is wat een codeeragent überhaupt op een eindpunt mag aanraken, en inloggegevensopslagplaatsen zijn een verstandige plek om de eerste lijn te trekken.