Sophosは、Claude Code、Cursor、OpenAI CodexなどのAIコーディングエージェントが、エンドポイントの行動検知ルールを発火させている実例を公開した。調査は2026年6月の7日間のWindowsテレメトリを対象にしており、活動の多くは悪意ではなく、開発作業やブラウザ自動化の一部だったという。
それでも、検知エンジンから見ると問題は単純ではない。ブラウザ認証情報へのアクセス、PowerShell実行、システム標準ツールによるダウンロード、スタートアップフォルダへの書き込みは、攻撃者の行動と重なるからだ。
何が検知されたのか
Sophosの分析では、ブロッキングルールの大きな割合をCredential AccessとExecutionが占めた。たとえば、GStackの「/browse」スキルがブラウザ自動化のためにDPAPIを使って保存データを復号しようとし、認証情報窃取を検知するルールに引っかかった。
別の例では、エージェントがPythonやPowerShellを使い、失敗すると別の手段に切り替えた。これは開発者から見ると「うまくいくまで試す」自然な振る舞いだが、防御側から見ると、攻撃者が検知を回避しながら横展開する動きにも見える。
AIエージェントの行動 | 防御側での見え方 |
|---|---|
ブラウザ自動化のための保存データ参照 | 認証情報アクセス |
certutilやbitsadminでの取得試行 | Living off the land型のダウンロード |
PowerShellやPythonによる補助処理 | スクリプト実行・回避行動 |
起動時実行フォルダへの書き込み | 永続化の疑い |
企業は「許可」だけでなく「境界」を設計する
AIエージェントを開発現場に導入する企業は、単に利用を許可するだけでは足りない。どのリポジトリ、どの端末、どの権限、どの外部通信まで許すのかを決め、EDRやSIEM側にも正当なエージェント利用を識別する文脈を持たせる必要がある。
特に注意したいのは、権限確認を省略する実行モードや、ブラウザ・認証情報・社内ファイルへ広くアクセスできる設定だ。便利さを優先しすぎると、誤検知だけでなく、本当に乗っ取られたエージェントの行動も見分けにくくなる。
検知設計はエージェント時代へ更新が必要
Sophosの結論は、AIエージェントが悪いという話ではない。むしろ、既存の行動検知が正しく反応していることを示している。変わったのは、同じ行動を「善意の自動化」も「攻撃者」も実行するようになった点だ。
今後のセキュリティ運用では、プロセス名やコマンドだけでなく、誰の承認で、どの作業目的で、どの範囲のデータに触れたかを合わせて判断する必要がある。AIエージェント導入は、開発生産性だけでなく検知・監査の設計も同時に変える。
参考:Sophos / The Hacker News


.png&w=384&q=75)

