Asistenții AI de programare sperie sistemele de securitate: de ce Claude Code, Cursor și Codex par atacatori în ochii antivirusului
Asistenții AI de programare încep să creeze o problemă neașteptată pentru companiile de securitate: nu sunt malițioși, dar se comportă uneori exact ca un atacator. Potrivit The Hacker News, Sophos a analizat o săptămână de date din propriile sisteme endpoint și a descoperit că agenți precum Claude Code, Cursor și OpenAI Codex declanșează reguli construite pentru detectarea intruziunilor reale.
Problema nu este că aceste instrumente încearcă să atace sistemele utilizatorilor, ci că execută sarcini foarte apropiate de comportamentele urmărite de soluțiile de securitate: acces la credențiale, rularea de cod, descărcarea de fișiere prin instrumente Windows legitime sau scrierea unor scripturi în zone sensibile ale sistemului. Pentru un motor de detecție comportamentală, diferența dintre un agent AI „harnic” și un atacator real poate deveni greu de făcut.
Ce activități au declanșat alarmele
Analiza Sophos se bazează pe telemetrie colectată în iunie 2026, timp de șapte zile, de pe mașini Windows monitorizate de motorul comportamental al companiei. Nu este un recensământ al întregii industrii, ci o privire punctuală asupra unui fenomen nou, dar suficient de relevant încât să ridice semne de întrebare.
Conform datelor citate, accesul la credențiale a reprezentat 56,2% din activitatea blocată, iar execuția de cod 28,8%. Cu alte cuvinte, cele mai multe alerte au apărut atunci când agenții AI au încercat să lucreze cu date sensibile sau să ruleze comenzi într-un mod care seamănă cu tehnicile folosite de atacatori.
Un exemplu menționat de Sophos implică un agent care a încercat să acceseze date stocate de browser sau de sistemul de operare. În alt caz, un agent a încercat să descarce un instalator legitim folosind instrumente Windows care sunt folosite frecvent și de atacatori pentru a evita detecția. Ținta era inofensivă, dar comportamentul arăta, tehnic, ca o tentativă de „living off the land”, adică folosirea uneltelor normale ale sistemului în scopuri suspecte.
Aici se vede noua complicație adusă de inteligența artificială în securitate cibernetică. Aceleași acțiuni pot veni din trei direcții diferite: un agent AI benign, un atacator care folosește AI sau un agent compromis prin instrucțiuni malițioase. Pentru sistemele de apărare, contextul devine mai important decât comanda în sine.
De ce nu toate alertele trebuie tratate la fel
Sophos sugerează că apărătorii trebuie să împartă mai atent regulile de detecție. Unele alerte de execuție pot fi zgomot de fond, mai ales dacă vin de la un agent cunoscut, dintr-un folder de lucru verificat și către o destinație legitimă. În aceste cazuri, regulile pot fi ajustate pentru a evita blocarea inutilă a dezvoltatorilor.
Totuși, zona credențialelor trebuie tratată mult mai strict. Faptul că un agent AI rulează sub contul unui utilizator de încredere nu înseamnă că ar trebui să aibă acces liber la parole, tokenuri, date de browser sau manageri de credențiale. Dacă un instrument automat ajunge să poată citi sau procesa astfel de informații, riscul crește rapid.
Aceasta este marea lecție pentru companii: agenții AI de programare nu trebuie tratați ca simple extensii ale dezvoltatorului. Ei au nevoie de limite clare, permisiuni reduse și politici de rulare controlate. În caz contrar, o unealtă creată pentru productivitate poate ajunge să creeze vulnerabilități operaționale.
Discuția este cu atât mai relevantă cu cât hackerii folosesc inteligența artificială în atacuri tot mai complexe. Dacă acțiunile generate de AI seamănă cu cele ale atacatorilor, soluțiile de securitate trebuie să învețe să citească întregul context, nu doar evenimentul izolat.
Ce trebuie să schimbe companiile
În practică, organizațiile trebuie să decidă ce au voie să atingă agenții AI pe un endpoint. O limită logică este zona credențialelor. Un asistent de cod poate ajuta la scrierea unui script, la analizarea unui proiect sau la generarea de teste, dar nu ar trebui să acceseze implicit parolele și datele sensibile ale utilizatorului.
În același timp, echipele de securitate trebuie să accepte că noile instrumente AI vor produce mai multe alerte ciudate. Un agent poate încerca o metodă, poate fi blocat, apoi poate alege automat o altă cale. Pentru un om, acest comportament poate părea eficiență. Pentru un sistem EDR, seamănă cu adaptarea unui atacator care încearcă să ocolească blocajele.
Această suprapunere complică apărarea modernă. Într-un peisaj în care tot mai multe atacuri sunt „malware-free” și se bazează pe conturi valide, instrumente legitime și acțiuni greu de diferențiat de activitatea normală, agenții AI adaugă un nou strat de ambiguitate. Exact de aceea, cazuri precum cel în care un agent AI ar fi lansat singur un atac cibernetic devin semnale de alarmă pentru industrie, nu simple curiozități tehnologice.
Concluzia este clară: AI-ul pentru programare poate accelera munca dezvoltatorilor, dar nu poate fi lăsat să ruleze fără reguli. Dacă un agent se comportă ca un atacator, chiar și cu intenții bune, sistemele de securitate au motive să reacționeze. Iar următoarea etapă a apărării cibernetice va depinde de capacitatea companiilor de a separa automatizarea legitimă de comportamentul periculos.