Claude/Cursor/Codex がトリガーするグレーゾーンのアクティビティ:曖昧化する善悪の境界

Claude, Cursor, and Codex Trigger Endpoint Security Rules Used to Catch Hackers

2026/07/09 CyberSecurityNews — Claude Code/Cursor/OpenAI Codex などの AI コーディングエージェントが、エンタープライズ環境に進出し続けている。その一方で、新たなテレメトリが示すのは、それらの AI エージェントの意図とは別に、認証情報アクセスおよび Living-off-the-Land バイナリ (LOLBins) に関連するセキュリティ検知がトリガーされている状況である。最近の Sophos CIXA 振る舞いエンジンによる分析が浮き彫りにするのは、攻撃者に関連する悪性のアクティビティと良性の自動化との境界が、これらのツールにより曖昧になっていることだ。

この調査結果は、2026年6月における 7日間に収集された Windows エンドポイント・テレメトリに基づいている。この検知データが示すのは、Credential Access や Execution などの MITRE ATT&CK 戦術にマッピングされたルールが、最も多くのアラートを生成していることである。

すべての観測されたアクティビティが、悪意のものとして確認されたわけではない。しかし、その多くは既知の敵対者の手法に似ている。

検知の大半は、認証情報アクセスの挙動に由来していた。最も頻繁にトリガーされたルールの 1 つである Creds_3b は、Windows Data Protection API (DPAPI) を用いて、ブラウザに保存された認証情報を復号するプロセスを検知する。

この挙動は、AI エージェントが GStack skill pack などのツールを使用して、ブラウザ自動化タスクを実行した際に繰り返し観測された。

Blocking rule hits (by MITRE tactic) downstream of AI agents, measured by unique machine count  (Source: Sophos)
Blocking rule hits (by MITRE tactic) downstream of AI agents, measured by unique machine count  (Source: Sophos)

たとえば、”/browse” 機能は一連のプロセスを起動し、最終的に PowerShell を呼び出して保護されたデータをデコードする。

Claude Code/Cursor/Codex がトリガー

観測されたコマンドの中には、PowerShell が .NET の暗号関数を用いて Base64 入力をデコードし、カレント・ユーザーコンテキストで DPAPI を介して復号していたものもある。

Sophos の研究者たちが指摘するのは、このアクティビティがブラウザ自動化において正当である一方で、よく知られた情報窃取型マルウェアの手法を使用している点である。そのため、目的が良性であっても、検知ルールにより正しいフラグ付けが行われた。

認証情報に関連する他のアラートには、AI エージェントにより生成された Python スクリプトが関与していた。一部のケースでは、エージェントが taskkill でブラウザ・プロセスを終了させた後に、保存された認証情報へアクセスするスクリプトを実行していた。

Claude Code documentation warning about the --dangerously-skip-permissions flag (Source: Sophos)
Claude Code documentation warning about the –dangerously-skip-permissions flag (Source: Sophos)

追加のコマンドには、Windows に組み込まれている “cmdkey” ユーティリティを用いて、保存済みの認証情報を列挙するものが含まれていた。こうした挙動は、特に “–dangerously-skip-permissions” のようなフラグと組み合わされる場合に、通常であればセキュリティ・オペレーション・センターで即時の調査の対象となる。

認証情報アクセス以外にも、AI エージェントはコマンドラインの難読化および LOLBin の悪用に関連するアラートをトリガーした。ある例では、OpenAI Codex が “certutil.exe” を使用して、公式 Web サイトから Python インストーラをダウンロードしようとしていた。

それがブロックされると、このエージェントは “bitsadmin.exe” の使用へと切り替えた。この “bitsadmin.exe” も、攻撃者が多用する Windows ネイティブ・ユーティリティである。この再試行のロジックは、成功するまで複数の手法を試し続ける、hands-on-keyboard 型の敵対者の挙動を反映している。

Claude terminating browser processes before spawning a Python script (decrypt_wp_pass.py) that accesses browser data  (Source: Sophos)
Claude terminating browser processes before spawning a Python script (decrypt_wp_pass.py) that accesses browser data  (Source: Sophos)

この調査では、永続化メカニズムも観測された。あるケースでは、Cursor が PowerShell スクリプトを使用して、Windows のスタートアップ・フォルダへ VBScript ファイルを書き込んでいた。このアクションは、永続化検知ルールによりフラグ付けされた。

その意図は、アプリケーションのセットアップに関連しているように見えた。しかし、信頼されたインストーラ以外がスタートアップ・ロケーションへ書き込むことは、きわめて高リスクの挙動である。

テレメトリには、”Disrupt” カテゴリに分類される検知も含まれていた。これは Adaptive Attack Protection (AAP) イベントを表すものである。これらは、AI エージェントが評判の悪いバイナリを実行しようとした際にトリガーされた。これらのファイルは、悪意のものとは確認されていなかったが、グローバルな評判が不足していたため、自動的にブロックされた。

このデータは、AI エージェントが、エンドポイント上のベースライン・アクティビティを再形成していることを示している。つまり、かつては、強力な侵害指標と見なされていたアクションが、現在では正規の自動化ツールにより実行されている。

しかし、こうした挙動のリスク・プロファイルが変化したわけではない。認証情報の復号/ダウンロードにおける LOLBin の使用/永続化ロケーションの変更は、依然として本質的に機密性の高いアクションである。

この変化が、検知エンジニアリング・チームに対して課題を突き付けている。セキュリティ制御に求められるのは、保護を弱めることなく、信頼された AI 駆動型自動化と実際の脅威を区別できるよう進化していくことである。

AI エージェントの自律性が高まるにつれて、ユーザー組織にとって必要になるのは、これらのツールに許可する動作を定義する明確なポリシーと、それらのアクションに対する可視性の向上となる。