نظرت سوفوس في أسبوع من بيانات نقطة النهاية الخاصة بها ووجدت أن وكلاء تشفير الذكاء الاصطناعي مثل Claude Code وCursor وOpenAI Codex يقومون بإعداد قواعد الكشف المكتوبة للقبض على المتسللين من البشر.
الوكلاء ليسوا ضارين. إنهم يفعلون الكثير من الأشياء التي تبدو تمامًا مثل الهجوم بالنسبة للمحرك السلوكي.
فك تشفير بيانات اعتماد المتصفح، وسرد ما هو موجود في مخزن بيانات اعتماد Windows، وسحب الملفات باستخدام أدوات النظام المضمنة، والكتابة إلى مجلد بدء التشغيل: كانت هذه منذ فترة طويلة بمثابة إشارة عالية للمدافعين.
ما تغير هو من يقوم بإنشائه. على الأجهزة التي شاهدتها سوفوس، كان غالبًا مساعد الذكاء الاصطناعي للمطور يقوم بعمل عادي.
ما الذي أدى إلى إيقاف أجهزة الإنذار
يعتمد التحليل على سبعة أيام من القياس عن بعد اعتبارًا من يونيو 2026، مأخوذ من المحرك السلوكي لشركة Sophos على نظام التشغيل Windows ويتم حسابه بواسطة آلات فريدة، وليس حجم الحدث الأولي. إنها نافذة ضيقة على أسطول بائع واحد، وليس إحصاء صناعي.
تحدد مخططات سوفوس الوصول إلى بيانات الاعتماد بنسبة 56.2 بالمائة من النشاط المحظور والتنفيذ بنسبة 28.8 بالمائة: حيث يصل العملاء إلى الأسرار المخزنة، أو يقومون بتشغيل التعليمات البرمجية بالطريقة التي يفعلها المهاجمون.
يتم تشغيل أكبر قاعدة للوصول إلى بيانات الاعتماد، بنسبة 42.6 بالمائة من تلك المجموعة، عندما تستخدم إحدى العمليات واجهة برمجة تطبيقات حماية البيانات المضمنة في Windows، أو DPAPI، لفك تشفير بيانات الاعتماد المخزنة في المتصفح. تطلق Sophos على GStack حزمة مهارات معتمدة على نطاق واسع لوكلاء البرمجة.
تقوم مهارة /browse الخاصة به بذلك بالضبط، حيث تقوم بتشغيل PowerShell الذي يستدعي DPAPI لفتح بيانات المتصفح المحفوظة. اكتشف سوفوس أنه يعمل تحت قيادة كلود كود. في السياق، يكاد يكون من المؤكد أن هذا هو أتمتة المتصفح نيابة عن المستخدم. بالنسبة لمحرك الكشف، فهي سرقة بيانات الاعتماد، والقاعدة صحيحة لإطلاق النار.
بدت بعض أمثلة بايثون أسوأ على الورق. في إحدى الحالات، قام كلود كود بإغلاق المتصفح قيد التشغيل وتشغيل برنامج نصي يسحب البيانات من مخزن بيانات الاعتماد الخاص به.
بشكل منفصل، تم تشغيل cmdkey /list لتعداد بيانات الاعتماد التي كان يحتفظ بها Windows Credential Manager. تلاحظ سوفوس أن Claude Code تم تشغيله هنا مع مجموعة علامات –dangerously-skip-permissions، وهو وضع تحذر منه وثائق Anthropic الخاصة وتخبر المسؤولين بكيفية الحظر.

عندما يفشل أحد الأساليب، يحاول الوكيل استخدام نهج آخر. لقد فعل OpenAI Codex ذلك تمامًا، حيث جلب مُثبِّت Python من موقع python.org الحقيقي، بدءًا من certutil. تم حظر ذلك، لذلك تم تحويله إلى bitsadmin. كلاهما من أدوات Windows المساعدة الشرعية التي يستغلها المهاجمون بشكل روتيني لسحب الحمولات والعيش خارج الأرض.
لم يكن الهدف ضارًا، لكن وجهة نظر سوفوس هي أن هذا السلوك المحوري عند الحجب هو ما يفصل المهاجم الحي عن البرنامج النصي الثابت، ويقوم العملاء الحميدون بذلك أيضًا الآن.
قام المؤشر بتعطيل قاعدة الثبات باستخدام PowerShell لإسقاط البرنامج النصي لمجلد بدء التشغيل الذي سيتم تشغيله في كل مرة يتم فيها تشغيل الجهاز. لم تتمكن سوفوس من تأكيد ما فعله البرنامج النصي، ولكن الكتابة لبدء التشغيل خارج مُثبِّت موثوق به هو الشيء الذي يشير إليه المدافعون عن الأنظار.
عملاء الذكاء الاصطناعي على جانبي الخط
الجانب الآخر مرئي بالفعل. وقبل ذلك بشهر، وثّقت سوفوس مهاجمًا استخدم عملاء الذكاء الاصطناعي لبناء واختبار برامج ضارة ضد منتجات EDR، وكان أحدهم يستخدم Claude Opus 4.5 لتنسيق العمل.
كان ذلك وقت التطوير: وكلاء يساعدون المهاجم على كتابة أدوات أفضل. يتم تشغيل الوكلاء على مستخدميهم في وقت التشغيل أيضًا. وفي حالة منفصلة، أظهر الباحثون أنه يمكن خداع وكيل الترميز لتشغيل تعليمات برمجية مهاجم من خلال مدخلات مسمومة، وهي سلسلة يمكن أن تتخطى EDR لأن الوكيل يعمل داخل جلسة المستخدم الموثوقة.

هذه أحداث منفصلة مع إطلاق قواعد مختلفة، ولكنها تشترك في السطح: مكالمات بيانات اعتماد المتصفح، وتنزيلات LOLBin، وعمليات الكتابة عند بدء التشغيل تأتي الآن من وكلاء حميدين، ووكلاء يديرهم المهاجمون، ووكلاء مختطفون.
هذا هو السبب في أن الإجراء الخام يخبرك بأقل مما كان عليه من قبل. وهو يكمن ضمن تغيير أكبر في كيفية ظهور عمليات الاقتحام. وجد تقرير التهديدات العالمية لعام 2026 الصادر عن CrowdStrike أن 82 بالمائة من عمليات الاكتشاف لعام 2025 كانت خالية من البرامج الضارة، حيث كان المهاجمون يتحركون عبر بيانات اعتماد صالحة وأدوات موثوقة بدلاً من إسقاط الملفات.
وهذا التحول هو ما دفع الاكتشاف نحو السلوك في المقام الأول. يقوم عملاء الذكاء الاصطناعي الآن بتوليد نفس السلوك لأسباب عادية، مما يؤدي إلى مزاحمة الإشارة الدقيقة التي اعتمد عليها المدافعون.
ماذا يعني بالنسبة للمدافعين
إذا قام المطورون بتشغيل هؤلاء الوكلاء ضمن حساباتهم الخاصة، فتوقع تشغيل قواعد نقطة النهاية على أجهزتهم. إجابة سوفوس هي تقسيم القواعد حسب ما تلتقطه. يمكن عادةً تحديد نطاق ضجيج التنفيذ الصادر عن وكيل يحاول إعادة محاولة التنزيل أو إصدار PowerShell بتنسيق غريب.
أدخل القاعدة إلى العملية الأصلية للوكيل (claude.exe، وcursor.exe، والعمليات التابعة لها)، أو مساحة العمل أو المسار المؤقت الخاص به، أو سمعة هدف التنزيل. وهذا يمنع الوكيل المعروف من القيام بعمل عادي من إصدار التنبيهات.
سلوك لمس بيانات الاعتماد هو المكان الذي تمسك فيه بالخط. لا يصبح فك تشفير بيانات اعتماد المتصفح أو تعداد مدير الاعتماد آمنًا لأن الوكيل قام بذلك بدلاً من شخص، ويجب ألا يرث الوكيل الوصول الشامل إلى مخازن بيانات الاعتماد فقط لأنه يعمل تحت مستخدم موثوق به. إذا كانت الضوضاء تأتي من وضع –dangerously-skip-permissions الخاص بـ Claude Code، فقم بتعطيل هذا الوضع من خلال الإعدادات المُدارة.
يصف سوفوس ذلك بأنه قراءة مبكرة، وليس حكمًا، ويلاحظ أن التحول لا يزال صغيرًا حتى لو كان الاتجاه واضحًا. سؤال السياسة المفتوح هو ما الذي يجب السماح لوكيل الترميز بلمسه على نقطة النهاية على الإطلاق، وتعد مخازن بيانات الاعتماد مكانًا معقولًا لرسم السطر الأول.
