Sophos X-Opsによる新たな調査によると、Claude Code、Cursor、OpenAI CodexといったAI搭載型コーディングアシスタントが、実際のサイバー攻撃と酷似したエンドポイント検知・対応(EDR)アラートを発生させるケースが増えているといいます。
この分析は2026年6月に収集された実際のテレメトリデータに基づくもので、自律的なAIの挙動が、多くの場合悪意はないものの、攻撃者の手口と酷似していることを明らかにしています。これにより、検知エンジニアリングやセキュリティ運用に新たな課題が生じています。
ネットワークセキュリティソリューション
Claude Code、Cursor、OpenAIとサイバー攻撃
Sophosの研究者は、Windowsシステム上で動作する自社の行動分析エンジンCIXAから得られたテレメトリを調査しました。その結果、AIエージェントがMITRE ATT&CKの戦術、特に「実行」(Execution)と「認証情報アクセス」(Credential Access)のカテゴリに該当する行動を日常的に行っていることが判明しました。
これらの検知は悪意によるものではなく、AIコーディングエージェントの動作方法そのものに起因していました。すなわち、自律的にコードを書き、依存関係をインストールし、ブラウザ操作を自動化し、トラブルシューティングの手順を繰り返すといった行動です。挙動という観点で見ると、これらの活動は攻撃者の行動と見分けがつかないケースが少なくありません。

最も顕著なトリガーの一つが、認証情報アクセスに関するメカニズムでした。SophosのCookieGuard保護機能に関連するCreds_3bというルールは、AIエージェントがWindowsのData Protection API(DPAPI)関数を使ってブラウザに保存された認証情報を復号する際に、かなりの数のアラートを発生させました。
ある観測事例では、ブラウザ自動操作用のGStack「/browse」スキルが、暗号化データをデコードするためにPowerShellを含む一連のプロセスを呼び出していました。この挙動は自動ブラウジングのワークフローとしては一般的なものですが、認証情報を窃取するマルウェアが使う手法と非常によく似ているため、正当な検知としてアラートが発報されました。
さらに別のテレメトリでは、AIエージェントが起動したPythonベースのスクリプトが、ブラウザプロセスを強制終了させた後に認証情報ストアへアクセスしていたことも判明しています。一部のケースでは、Windows資格情報マネージャーに保存された認証情報を列挙するために「cmdkey /list」のようなコマンドが実行されていました。
特に注目すべきは、これらの活動が「–dangerously-skip-permissions」のような権限を緩めるフラグとともに実行されるケースがあった点で、これがさらなる懸念材料となっています。これはおそらく正当な自動化処理の一環ではあるものの、マネージド検知・対応(MDR)の現場では通常、即座に調査対象となるような挙動です。
Sophosはまた、AIエージェントが難読化に関連したコマンドラインパターンを生成する様子も観測しています。もともと悪意あるPowerShellの整形手法を検知するために設計されたExec_16aのような従来型の検知ルールが、AIシステムが生成した構文的に類似したコマンドによってトリガーされていました。この重なりは、AIが生成したコードが悪意なく攻撃者的なパターンを意図せず再現してしまう可能性を浮き彫りにしています。
もう一つの重要な発見は「環境寄生型バイナリ」(LOLBins)に関するものです。ある事例では、OpenAI Codexが攻撃者にしばしば悪用されるツールであるcertutil.exeを使って、正規のPythonインストーラーをダウンロードしようとしていました。
この試みがブロックされると、エージェントは別のよく悪用されるユーティリティであるbitsadmin.exeに切り替えました。このように、一つの手法が成功するまで複数の手法を試すという反復的なフォールバック行動は、侵害されたシステム上で活動する人間の攻撃者に特有のものです。AIエージェントが同様の粘り強さを示すという事実は、こうした兆候に依存する行動検知モデルを一層複雑にしています。

さらに懸念されるのは、永続化を試みる挙動が確認された点です。Cursorが、Windowsのスタートアップフォルダ内にVBScriptファイルを作成するPowerShellスクリプトを実行し、永続化関連の検知(Persist_2a)をトリガーした事例が観測されています。
このスクリプトの意図は検証できませんでしたが、こうした動作はコーディングアシスタントに通常期待される範囲を逸脱するものであり、エージェントが広範なシステムアクセス権を持つ場合の潜在的リスクを浮き彫りにしています。
Sophosは、これらの検知はセキュリティ対策が想定通りに機能していることを示すものであり、失敗ではないと強調しています。しかし、この調査結果は企業環境全体における「通常」とされる挙動の基準が変化しつつあることを示しています。
ネットワークセキュリティソリューション
かつては侵害の強力な兆候とみなされていた行動が、今や正規のAIツールによって次々と生成されるようになっており、これが混乱を招き、トリアージ作業を複雑にしています。
この報告書は、AIコーディングエージェントを導入する組織は、エンドポイントポリシー、権限の境界、検知ロジックを見直す必要があると結論づけています。既知のAI駆動型の挙動を考慮し、一部のルールは調整が必要になるかもしれません。
一方で、その根底にある行動に内在するリスクを踏まえ、変更すべきでないルールも存在します。自律型AIが進化を続ける中、防御側は、セキュリティ態勢を損なうことなく、無害な自動化と本物の脅威を見分けるという重要なバランスを取る必要に迫られています。
Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN
翻訳元: https://gbhackers.com/claude-code-cursor-and-openai-codex-trigger-cyberattack/