Quay lại danh sách

AI Coding Agent Giờ Đây Kích Hoạt Cùng Cảnh Báo Bảo Mật Như Kẻ Tấn Công Thật — Dữ Liệu Telemetry Của Sophos Chứng Minh Điều Đó

Đăng ngày 11 thg 7, 20266 phút đọc
AI AgentsDeveloper ToolsGenAI

AI Coding Agent Giờ Đây Kích Hoạt Cùng Loại Cảnh Báo Như Kẻ Tấn Công Thật

Ngày 8/7/2026, Sophos công bố nghiên cứu telemetry cho thấy Claude Code, Cursor và OpenAI Codex thường xuyên kích hoạt các rule endpoint detection and response (EDR) vốn được xây dựng để bắt kẻ xâm nhập là con người — không phải vì các agent này bị xâm phạm, mà vì công việc coding agentic bình thường trông giống hệt, từng byte một, như một cuộc tấn công đang diễn ra. Trong bảy ngày quan sát vào tháng 6/2026, Sophos phát hiện phần lớn các sự kiện bị chặn đến từ các hành vi nằm trong hai nhóm MITRE ATT&CK là Credential Access và Execution: agent gọi Windows Data Protection API (DPAPI) để giải mã credential lưu trong trình duyệt, và Cursor kích hoạt một rule persistence khi dùng PowerShell để thả một script vào thư mục startup, chạy mỗi lần máy khởi động.

Lý Do: Coding Agentic Và Kỹ Thuật Của Kẻ Tấn Công Giờ Dùng Chung Một 'Ngôn Ngữ'

Sự trùng lặp này không phải là một sự cố ngẫu nhiên do prompt sai — nó mang tính cấu trúc. Một AI coding agent có quyền truy cập shell, quyền đọc credential trình duyệt và khả năng ghi script startup, về bản chất thiết kế, sở hữu đúng bộ năng lực mà một bộ công cụ post-exploitation cần: đọc secret, duy trì (persist) qua các lần khởi động lại, xâu chuỗi các living-off-the-land binary (LOLBin) để hoàn thành việc mà không cần cài phần mềm mới. Các nhà nghiên cứu Sophos nói rõ rằng phát hiện này không phải là lời buộc tội các agent — 'dữ liệu telemetry này không cho thấy AI agent là độc hại; nó cho thấy các rule hành vi hiện có đang hoạt động đúng như thiết kế, ngay cả khi khái niệm hoạt động "bình thường" đang thay đổi' ('this telemetry doesn't suggest AI agents are malicious; it shows that existing behavioral rules are working as intended, even as "normal" activity shifts'). Các rule không hề bị lỗi. Định nghĩa về hoạt động bình thường trên máy của một developer mới là thứ vừa thay đổi ngay bên dưới chúng.

Chi Tiết Đội Bảo Mật Nên Để Ý: Cùng Một Toolchain Đã Từng Build Ra Malware Thật Sự Hoạt Động

Đây không phải là rủi ro giả định. Năm tuần trước đó, vào ngày 2/6/2026, Sophos công bố một phòng lab của một threat actor đang hoạt động thật, sử dụng Claude Opus 4.5 làm agent điều phối, IDE Cursor làm môi trường phát triển, và nền tảng ảo hóa Ludus để tạo ra và kiểm thử lặp đi lặp lại hơn 80 module EDR-evasion cho đến khi đạt được khả năng vượt qua gần như tuyệt đối Sophos, CrowdStrike và Microsoft Defender. Theo Sophos, 'framework này được xây dựng cho hoạt động post-exploitation kín đáo trong môi trường mục tiêu' ('the framework was built for stealthy post-exploitation activity in target environments') — được xây bằng chính bộ công cụ coding agentic mà các developer hợp pháp sử dụng mỗi ngày. Sự trùng lặp về telemetry không chỉ đơn thuần gây nhiễu; đó là cùng một bộ công cụ, trong những bàn tay khác nhau, tạo ra các tín hiệu mà một SOC buộc phải phân biệt được.

Câu Chuyện Bảo Mật AI Agent Thứ Tư Trong Sáu Tuần

Sự việc này chồng lên một loạt phát hiện bảo mật mang tính cấu trúc về AI agent. Cuối tháng 6, các nhà nghiên cứu công bố GuardFall, một lỗ hổng bypass diễn giải shell ảnh hưởng đến 10 trên 11 coding agent và computer-use agent mã nguồn mở được khảo sát — bao gồm opencode, Goose, Cline, Aider và OpenHands — nơi các agent kiểm tra văn bản thô của lệnh shell trong khi Bash thực sự đánh giá nó sau khi đã expansion và substitution, khiến các kỹ thuật evasion hàng chục năm tuổi có thể lách các lệnh độc hại qua bộ lọc an toàn; chỉ có evaluator của Continue là bắt được phần lớn các nhóm bypass một cách đáng kể. Vài tuần trước đó, nhà nghiên cứu RyotaK của GMO Flatt Security công bố một lỗ hổng trong chính GitHub Action của Claude Code, nơi hàm checkWritePermissions tin tưởng vô điều kiện bất kỳ actor GitHub nào có tên kết thúc bằng [bot], cho phép một bình luận issue công khai duy nhất chuỗi thành một cuộc xâm phạm toàn bộ repository — đã được vá trong claude-code-action v1.0.94. Ba nhóm lỗ hổng và một nghiên cứu telemetry, tất cả trong vòng sáu tuần, và tất cả đều chỉ về cùng một nguyên nhân gốc: các công cụ coding agentic được trao năng lực hệ thống thật nhanh hơn tốc độ mà công cụ bảo mật xung quanh chúng được cập nhật để phân biệt hoạt động của agent với hoạt động của kẻ tấn công.

Những Gì Cần Kiểm Tra Trước Khi SOC Của Bạn Bỏ Qua Nhầm Cảnh Báo

Có ba việc đáng làm trong tuần này nếu đội của bạn đang chạy công cụ coding agentic trên máy developer: đầu tiên, đừng phản ứng với false positive từ AI agent bằng cách tắt hoặc hạ trọng số hàng loạt các rule Credential Access và Persistence — trường hợp phòng lab EDR-evasion cho thấy kẻ tấn công đang dùng đúng bộ công cụ agentic đó, nên việc nới lỏng rule không chỉ làm giảm nhiễu, mà còn mở ra một lối đi. Thứ hai, hãy cấp cho AI coding agent một process identity và baseline riêng trong EDR của bạn thay vì để chúng kế thừa mức độ tin cậy của developer đang đăng nhập, để các cuộc gọi DPAPI và ghi script startup PowerShell từ một tiến trình agent có thể được phân biệt với cùng cuộc gọi đó do con người hoặc do malware mạo danh agent thực hiện. Thứ ba, hãy vá và rà soát lại ngay các tích hợp agent CI/CD của bạn — nếu bạn dùng GitHub Action của Claude Code, hãy xác nhận bạn đang ở v1.0.94 trở lên, và nếu bạn dùng bất kỳ agent nào trong mười agent bị ảnh hưởng bởi GuardFall, hãy kiểm tra xem việc lọc lệnh shell của bạn diễn ra trước hay sau khi trình thông dịch tự thực hiện expansion và substitution.

Kết Luận

Con số đáng nhớ ở đây không phải là 80 module evasion hay 10 trên 11 agent bị ảnh hưởng — mà là sáu tuần, bốn phát hiện riêng biệt, cùng một nguyên nhân chung. Coding agent được trang bị quyền truy cập shell, quyền truy cập credential và khả năng persistence vì đó chính là thứ khiến chúng hữu ích; còn ngăn xếp bảo mật xung quanh chúng phần lớn được xây dựng với giả định rằng bộ năng lực đó chỉ thuộc về con người và kẻ tấn công. Nghiên cứu telemetry của Sophos là bằng chứng rõ ràng nhất cho thấy 'AI agent' không còn là một identity mặc định an toàn để một rule EDR tin tưởng — nó giờ cần được đối xử với phạm vi giới hạn, giám sát và chịu trách nhiệm riêng lẻ giống như một tài khoản con người có đặc quyền, nếu không những cảnh báo lẽ ra bắt được phòng lab EDR-evasion tiếp theo có nguy cơ bị chìm trong nhiễu của chính các agent đang làm công việc thật của chúng.