56,2 prosent. Så stor andel av den blokkerte KI-agentaktiviteten gjaldt tilgang til lagret legitimasjon, da Sophos gikk gjennom sju dager med egen endepunkt-telemetri fra juni 2026. Kjøring av kode sto for 28,8 prosent. Agentene var ikke ondsinnede. De gjorde bare ting som for en atferdsbasert deteksjonsmotor ser ut som et angrep, skriver The Hacker News.
Den største enkeltregelen, 42,6 prosent av legitimasjonsgruppen, fyrer når en prosess bruker Windows' innebygde Data Protection API (DPAPI) for å dekryptere nettleserens lagrede innlogginger. Sophos peker på GStack, en utbredt skill-pakke for kodeagenter, hvis /browse-ferdighet kjører PowerShell som gjør nettopp dette. De fanget den under Claude Code. I sammenhengen er det nesten helt sikkert nettleser-automatisering på brukerens vegne. For deteksjonsmotoren er det legitimasjonstyveri, og regelen har rett i å fyre.
Mønsteret gjentar seg på tvers av verktøy. Claude Code stengte i ett tilfelle den kjørende nettleseren og hentet data fra dens legitimasjonslager, og kjørte cmdkey /list for å telle opp hva Windows Credential Manager holdt på. Sophos noterer at Claude Code her kjørte med flagget --dangerously-skip-permissions, en modus Anthropics egen dokumentasjon advarer mot. OpenAI Codex hentet et Python-installasjonsprogram fra python.org med certutil, ble blokkert, og byttet til bitsadmin. Begge er legitime Windows-verktøy som angripere rutinemessig misbruker. Cursor utløste en persistens-regel ved å legge et PowerShell-skript i oppstartsmappen.
«En tidlig avlesning, ikke en dom.» — Sophos, om egen analyse
At agenten bytter teknikk når den blir blokkert, er kjernen i problemet. Det er nettopp den egenskapen, å prøve noe annet når noe feiler, som skiller en levende angriper fra et statisk skript. Nå gjør velmenende agenter det samme. Og det skjer samtidig med at inntrengninger uansett har flyttet seg vekk fra filer: CrowdStrikes Global Threat Report for 2026 fant at 82 prosent av deteksjonene i 2025 var uten skadevare, der angriperne beveget seg gjennom gyldige legitimasjoner og betrodde verktøy.
Sophos' svar er å dele reglene etter hva de faktisk fanger, ikke etter hvem som utløste dem.
«En agent bør ikke arve blanko tilgang til legitimasjonslagre bare fordi den kjører under en betrodd bruker.» — Sophos
Hva bør du gjøre?
- Skop unntakene mot kjøringsstøyen, ikke legitimasjonsstøyen. Knytt dem til agentens foreldreprosess (
claude.exe,cursor.exeog barneprosessene deres), arbeidsmappen eller omdømmet til nedlastingsmålet. - La legitimasjonsreglene stå. DPAPI-dekryptering og opptelling av Credential Manager blir ikke trygt fordi en agent gjorde det i stedet for et menneske.
- Blokker
--dangerously-skip-permissionsgjennom managed settings. Anthropic dokumenterer hvordan administratorer slår av modusen.
Merk at dette er én leverandørs flåte over sju dager, talt i unike maskiner, ikke en bransjetelling. Retningen er tydeligere enn tallene.