In den von Sophos ausgewerteten Daten entfielen 56,2 Prozent der blockierten Aktivitäten auf den Bereich Zugangsdatenzugriff, weitere 28,8 Prozent auf Ausführung. Der Hersteller beschreibt damit vor allem zwei Muster: Agenten greifen auf gespeicherte Geheimnisse zu oder führen Code in einer Weise aus, wie es auch Angreifer tun würden.
Die wichtigste Regel im Bereich Zugangsdatenzugriff machte 42,6 Prozent dieser Gruppe aus. Sie greift, wenn ein Prozess die in Windows eingebaute Data Protection API, kurz DPAPI, nutzt, um im Browser gespeicherte Zugangsdaten zu entschlüsseln. Sophos verweist dabei auf GStack als weit verbreitetes Fähigkeitenpaket für Coding-Agenten. Dessen Fähigkeit „/browse“ tut genau das: Sie startet PowerShell, das DPAPI aufruft, um gespeicherte Browser-Daten zu entsperren. Sophos beobachtete dieses Verhalten unter Claude Code. Im Kontext sei das sehr wahrscheinlich Browser-Automatisierung im Auftrag des Nutzers, für die Erkennungs-Engine sehe es dennoch wie Zugangsdaten-Diebstahl aus.
Einige Python-Beispiele wirkten laut Sophos noch auffälliger. In einem Fall beendete Claude Code den laufenden Browser und startete anschließend ein Skript, das Daten aus dessen Anmeldedatenspeicher abzog. In einem anderen Fall führte der Agent „cmdkey /list“ aus, um die in der Windows-Anmeldeinformationsverwaltung gespeicherten Zugangsdaten aufzulisten. Sophos merkt an, dass Claude Code hier mit dem Schalter „–dangerously-skip-permissions“ lief. Vor diesem Modus warnt laut Sophos auch die Dokumentation von Anthropic selbst; Administratoren erhalten dort zudem Hinweise, wie sich der Modus blockieren lässt.
Sophos beobachtete außerdem, dass Agenten bei Blockaden auf andere Methoden ausweichen. OpenAI Codex lud etwa ein Python-Installationsprogramm von der echten Seite python.org nach und versuchte dies zunächst mit „certutil“. Nachdem das blockiert wurde, wechselte der Agent zu „bitsadmin“. Beide Programme sind legitime Windows-Werkzeuge, die auch Angreifer regelmäßig missbrauchen, um Schadkomponenten mit Bordmitteln nachzuladen.
Cursor wiederum löste eine Regel für Persistenz aus. Der Agent nutzte PowerShell, um ein Skript im Autostart-Ordner abzulegen, das bei jedem Systemstart ausgeführt worden wäre. Was das Skript genau tat, konnte Sophos nach eigenen Angaben nicht bestätigen. Das Schreiben in den Autostart außerhalb eines vertrauenswürdigen Installationsprogramms sei jedoch genau die Art von Verhalten, die Verteidiger sofort markieren.
Sophos stellt diese Beobachtungen in einen größeren Zusammenhang. Einen Monat zuvor hatte das Unternehmen einen Angreifer dokumentiert, der KI-Agenten dazu nutzte, Schadsoftware gegen EDR-Produkte zu entwickeln und zu testen; einer der Agenten koordinierte die Arbeit mit Claude Opus 4.5. In einem separaten Fall zeigten Forscher zudem, dass sich ein Coding-Agent durch manipulierte Eingaben dazu verleiten ließ, Angreifer-Code auszuführen. Diese Kette könne EDR umgehen, weil der Agent innerhalb der vertrauenswürdigen Sitzung des Nutzers handelt.
Gemeinsam ist diesen getrennten Fällen laut Sophos, dass Browser-Zugangsdatenzugriffe, Downloads über LOLBins und Schreibvorgänge in den Autostart inzwischen von harmlosen Agenten, von Angreifern gesteuerten Agenten und gekaperten Agenten ausgehen können. CrowdStrike untermauert den Hintergrund dieser Entwicklung mit dem „2026 Global Threat Report“: Demnach waren 82 Prozent der Erkennungen aus 2025 frei von klassischer Malware; Angreifer bewegten sich stattdessen mit gültigen Zugangsdaten und vertrauenswürdigen Werkzeugen.
Als Reaktion empfiehlt Sophos, Regeln stärker nach dem Zweck des Verhaltens zu trennen. Ausführungsrauschen, etwa wenn ein Agent einen Download wiederholt versucht oder ungewöhnlich formatiertes PowerShell erzeugt, lasse sich häufig eingrenzen, etwa über den übergeordneten Prozess des Agenten wie „claude.exe“ oder „cursor.exe“, über dessen Arbeits- oder temporäre Pfade oder über den Ruf des Download-Ziels. Beim Zugriff auf Zugangsdaten zieht Sophos jedoch eine klare Grenze: Das Entschlüsseln von Browser-Zugangsdaten oder das Auflisten der Anmeldeinformationsverwaltung werde nicht dadurch unbedenklich, dass ein Agent statt eines Menschen die Aktion ausführt. Wenn die Störungen von Claude Codes Modus „–dangerously-skip-permissions“ ausgehen, sollte dieser laut Sophos per verwalteter Einstellung deaktiviert werden.
