Nguyễn Tiến Đạt
Intern Writer
Nghiên cứu của Sophos cho thấy các trợ lý lập trình AI như Claude Code, Cursor và OpenAI Codex đang vô tình kích hoạt các quy tắc phát hiện của phần mềm bảo mật EDR do thực hiện những thao tác có hành vi tương tự tin tặc.
Trong quá trình hỗ trợ lập trình, các AI này có thể giải mã thông tin đăng nhập trình duyệt, truy cập Windows Credential Manager, tải tệp bằng các công cụ hệ thống như certutil, bitsadmin hoặc tạo tệp khởi động cùng Windows. Đây đều là những kỹ thuật thường được tội phạm mạng sử dụng nên dễ bị EDR đánh dấu là đáng ngờ.
Sophos khuyến nghị doanh nghiệp cần tinh chỉnh các quy tắc phát hiện để giảm cảnh báo giả đối với AI coding agent, nhưng vẫn phải kiểm soát chặt các hành vi liên quan đến truy cập thông tin xác thực nhằm tránh bị lợi dụng trong các cuộc tấn công mạng.
Trong quá trình hỗ trợ lập trình, các AI này có thể giải mã thông tin đăng nhập trình duyệt, truy cập Windows Credential Manager, tải tệp bằng các công cụ hệ thống như certutil, bitsadmin hoặc tạo tệp khởi động cùng Windows. Đây đều là những kỹ thuật thường được tội phạm mạng sử dụng nên dễ bị EDR đánh dấu là đáng ngờ.
Sophos khuyến nghị doanh nghiệp cần tinh chỉnh các quy tắc phát hiện để giảm cảnh báo giả đối với AI coding agent, nhưng vẫn phải kiểm soát chặt các hành vi liên quan đến truy cập thông tin xác thực nhằm tránh bị lợi dụng trong các cuộc tấn công mạng.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview