Sophos analizó una semana de datos de sus propios terminales y descubrió que agentes de codificación de IA como Claude Code, Cursor y OpenAI Codex están activando reglas de detección escritas para atrapar a intrusos humanos.
Los agentes no son maliciosos. Simplemente hacen muchas cosas que, para un motor de comportamiento, parecen exactamente un ataque.
Descifrar las credenciales del navegador, enumerar lo que se encuentra en el almacén de credenciales de Windows, extraer archivos con herramientas integradas del sistema, escribir en la carpeta de inicio: estas han sido durante mucho tiempo una señal importante para los defensores.
Lo que ha cambiado es quién lo genera. En las máquinas que observaba Sophos, a menudo era el asistente de inteligencia artificial de un desarrollador realizando el trabajo ordinario.
¿Qué hizo saltar las alarmas?
El análisis se basa en siete días de telemetría de junio de 2026, tomados del motor de comportamiento de Sophos en Windows y contados por máquinas únicas, no por volumen de eventos sin procesar. Es una ventana estrecha sobre la flota de un proveedor, no un censo de la industria.
Los gráficos de Sophos sitúan el acceso a credenciales en el 56,2 por ciento de la actividad bloqueada y la ejecución en el 28,8 por ciento: agentes buscando secretos almacenados o ejecutando código como lo hacen los atacantes.
La mayor regla de acceso a credenciales, con un 42,6 por ciento de ese grupo, se activa cuando un proceso utiliza la API de protección de datos integrada de Windows, o DPAPI, para descifrar los datos de credenciales almacenados en el navegador. Sophos llama a GStack un paquete de habilidades ampliamente adoptado para agentes de codificación.
Su habilidad /browse hace exactamente eso, ejecutando PowerShell que llama a DPAPI para desbloquear los datos guardados del navegador. Sophos lo detectó ejecutándose bajo Claude Code. En contexto, es casi seguro que se trata de una automatización del navegador en nombre del usuario. Para el motor de detección, se trata de robo de credenciales y la regla es despedir.
Algunos ejemplos de Python se veían peor en el papel. En un caso, Claude Code cerró el navegador en ejecución y ejecutó un script que extraía datos de su almacén de credenciales.
Por separado, ejecutó cmdkey /list para enumerar las credenciales que tenía Windows Credential Manager. Sophos señala que Claude Code se ejecutó aquí con su indicador –dangerfully-skip-permissions establecido, un modo contra el cual la propia documentación de Anthropic advierte e indica a los administradores cómo bloquear.

Cuando un enfoque falla, un agente intenta con otro. OpenAI Codex hizo precisamente eso, obteniendo un instalador de Python del python.org real, comenzando con certutil. Eso fue bloqueado, por lo que cambió a bitsadmin. Ambas son utilidades legítimas de Windows de las que los atacantes abusan habitualmente para extraer cargas útiles y vivir de la tierra.
El objetivo era inofensivo, pero el punto de Sophos es que este comportamiento de pivote cuando se bloquea es lo que separa a un atacante vivo de un script estático, y ahora los agentes benignos también lo hacen.
Cursor activó una regla de persistencia al usar PowerShell para eliminar un script de carpeta de inicio que se ejecutaría cada vez que se iniciara la máquina. Sophos no pudo confirmar qué hacía el script, pero escribir en el inicio fuera de un instalador confiable es el tipo de cosas que los defensores señalan a la vista.
Agentes de IA en ambos lados de la línea
La otra cara ya es visible. Un mes antes, Sophos documentó a un atacante que utilizó agentes de inteligencia artificial para crear y probar malware contra productos EDR, uno de ellos ejecutando Claude Opus 4.5 para coordinar el trabajo.
Ese era el momento del desarrollo: agentes que ayudaban a un atacante a escribir mejores herramientas. Los agentes también atacan a sus propios usuarios en tiempo de ejecución. En un caso separado, los investigadores demostraron que se podía engañar a un agente de codificación para que ejecutara código de atacante a través de entradas envenenadas, una cadena que puede pasar por alto EDR porque el agente actúa dentro de la sesión confiable del usuario.

Estos son eventos separados con diferentes reglas de activación, pero comparten una superficie: las llamadas de credenciales del navegador, las descargas de LOLBin y las escrituras de inicio ahora provienen de agentes benignos, agentes ejecutados por atacantes y agentes secuestrados.
Es por eso que la acción cruda te dice menos que antes. Y se encuentra dentro de un cambio mayor en la apariencia de las intrusiones. El Informe de amenazas globales de 2026 de CrowdStrike encontró que el 82 por ciento de las detecciones de 2025 estaban libres de malware, y los atacantes utilizaron credenciales válidas y herramientas confiables en lugar de descartar archivos.
Ese cambio es lo que empujó la detección hacia el comportamiento en primer lugar. Los agentes de IA ahora generan el mismo comportamiento por razones ordinarias, abarrotando la señal exacta en la que los defensores llegaron a confiar.
Qué significa para los defensores
Si los desarrolladores ejecutan estos agentes con sus propias cuentas, es de esperar que se activen reglas de punto final en sus máquinas. La respuesta de Sophos es dividir las reglas según lo que captan. El ruido de ejecución de un agente que reintenta una descarga o emite PowerShell con un formato extraño generalmente puede tener un alcance.
Introduzca la regla en el proceso principal del agente (claude.exe, cursor.exe y sus procesos secundarios), su espacio de trabajo o ruta temporal, o la reputación del destino de descarga. Eso impide que un agente conocido que realiza un trabajo normal genere alertas.
El comportamiento que toca las credenciales es donde usted mantiene la línea. Descifrar las credenciales del navegador o enumerar el Administrador de credenciales no es seguro porque lo hizo un agente en lugar de una persona, y un agente no debe heredar el acceso general a los almacenes de credenciales solo porque se ejecuta bajo un usuario confiable. Si el ruido proviene del modo de omisión peligrosa de permisos de Claude Code, desactive ese modo a través de la configuración administrada.
Sophos llama a esto una lectura temprana, no un veredicto, y señala que el cambio aún es pequeño incluso si la dirección es clara. La cuestión de política abierta es qué se le debería permitir tocar a un agente de codificación en un punto final, y los almacenes de credenciales son un lugar sensato para trazar la primera línea.