Sophos heeft een analyse uitgevoerd op een week aan endpoint data en ontdekte dat AI-coding agents zoals Claude Code, Cursor en OpenAI Codex detectieregels triggeren die zijn ontworpen om menselijke aanvallers te herkennen. Deze agents zijn niet kwaadaardig, maar vertonen gedragingen die door gedragsdetectiesystemen als aanvallen worden geïnterpreteerd.

Voorbeelden van dergelijke gedragingen zijn het ontsleutelen van browsercredentials, het opvragen van opgeslagen gegevens in de Windows credential store, het downloaden van bestanden met ingebouwde systeemtools en het schrijven naar de opstartmap. Deze acties worden door beveiligingsteams al lange tijd als verdacht beschouwd. Wat veranderd is, is dat deze activiteiten nu vaak door AI-assistenten van ontwikkelaars worden uitgevoerd tijdens hun normale werkzaamheden.

De analyse van Sophos is gebaseerd op zeven dagen telemetry uit juni 2026, verzameld via hun gedragsengine op Windows-systemen, waarbij unieke machines werden geteld in plaats van het aantal events. Credential access vormde 56,2 procent van de geblokkeerde activiteiten, terwijl uitvoering van code 28,8 procent bedroeg. De meest getriggerde regel (42,6 procent) betreft het gebruik van de Windows Data Protection API (DPAPI) om browsercredentials te ontsleutelen. Sophos noemt GStack een veelgebruikte skill pack voor AI-coding agents, waarvan de /browse skill PowerShell-scripts uitvoert die DPAPI aanroepen om opgeslagen browserdata te ontgrendelen. Dit werd bijvoorbeeld waargenomen bij Claude Code, wat waarschijnlijk browserautomatisering namens de gebruiker betreft. Voor de detectie-engine lijkt dit echter op credential theft, waardoor de regel correct afgaat.

In sommige gevallen voerden AI-agents acties uit die op papier nog verdachter lijken. Zo sloot Claude Code een browser af en voerde een script uit om data uit de credential store te halen, en gebruikte het commando cmdkey /list om opgeslagen Windows-credentials te inventariseren. Hierbij draaide Claude Code met de --dangerously-skip-permissions vlag, een modus die door de ontwikkelaar Anthropic wordt afgeraden en waarvoor beheerders blokkades kunnen instellen. Wanneer een methode wordt geblokkeerd, schakelen agents over naar alternatieven. OpenAI Codex probeerde bijvoorbeeld eerst certutil te gebruiken om een Python installer te downloaden, en stapte na blokkade over op bitsadmin, beide legitieme Windows-tools die vaak door aanvallers worden misbruikt om payloads binnen te halen.

Cursor activeerde een persistentieregel door via PowerShell een script in de opstartmap te plaatsen dat bij elke herstart van het systeem zou worden uitgevoerd. Sophos kon niet bevestigen wat het script precies deed, maar schrijven naar de opstartmap buiten een vertrouwde installer om is een bekende trigger voor verdedigers.

Interessant is dat AI-agents zowel aan de kant van gebruikers als aanvallers actief zijn. Eerder documenteerde Sophos een aanvaller die AI-agents gebruikte om malware te ontwikkelen en te testen tegen EDR-producten, waarbij Claude Opus 4.5 werd ingezet om het proces te coördineren. Daarnaast toonden onderzoekers aan dat AI-coding agents kunnen worden misleid om kwaadaardige code uit te voeren via gepoisonde input, wat detectie kan omzeilen doordat de agent binnen de vertrouwde sessie van de gebruiker opereert. Hierdoor ontstaan situaties waarin browsercredential-aanroepen, het downloaden van tools via legitieme Windows utilities en het schrijven naar de opstartmap afkomstig kunnen zijn van zowel onschuldige agents, door aanvallers gebruikte agents als gekaapte agents. Dit maakt het lastiger om op basis van deze acties alleen onderscheid te maken tussen kwaadwillende en legitieme activiteiten.

Deze bevindingen zijn onderdeel van een bredere verschuiving in de aard van inbraken en detectie, zoals ook wordt beschreven in het 2026 Global Threat Report van CrowdStrike.