EDR para agentes de código deixou de ser assunto futuro. Claude Code, Cursor, Codex e skill packs podem instalar dependências, abrir navegador, baixar ferramentas e tentar caminhos alternativos. Para um motor comportamental de endpoint, parte disso parece atividade de invasor.
Em julho de 2026, a Sophos X-Ops analisou sete dias de telemetria Windows e mostrou que acesso a credenciais representou 56,2% dos bloqueios ligados a agentes, enquanto execução representou 28,8% (Sophos X-Ops, "When AI agents look like attackers", 2026). O alerta não é "pare de usar agente". É "não transforme tudo em falso positivo".
Resumo prático
- EDR deve separar ruído de agente de ações perigosas.
- Acesso a credenciais continua bloqueável, mesmo quando o agente parece benigno.
- Allowlist precisa considerar processo, workspace, destino e comando.
- CI e runners descartáveis reduzem o impacto de loops agentic longos.

Por que o EDR começou a ver agentes como invasores?
Em 2026, a Sophos mediu bloqueios de agentes por máquina única durante sete dias e viu acesso a credenciais em 56,2% dos casos, com execução em 28,8% (Sophos X-Ops, "When AI agents look like attackers", 2026). O EDR reage porque o comportamento, não a intenção, parece hostil.
Um agente de código não sabe que seu comando vai parecer uma técnica ofensiva. Ele tenta resolver a tarefa: instalar runtime, automatizar navegador, baixar dependência, rodar script ou persistir uma ferramenta local. O problema é que atacantes fazem coisas parecidas quando operam dentro de uma sessão válida.
Isso muda a conversa entre engenharia e segurança. O time de plataforma não deve pedir uma exceção ampla para claude.exe, cursor.exe ou codex. O time de segurança também não deve bloquear todo fluxo agentic sem triagem. O trabalho correto é classificar ações.
Esse recorte completa a discussão sobre hooks que seguram agentes antes do estrago porque o EDR enxerga o efeito no endpoint, enquanto o hook tenta impedir a ação antes do comando perigoso.
Cápsula citável: EDR para agentes de código não é uma lista de exceções para ferramentas populares. A telemetria da Sophos em 2026 mostrou que agentes benignos já atingem regras de acesso a credenciais e execução, então a política precisa distinguir contexto operacional de ação perigosa.
O que deve continuar bloqueando mesmo quando veio do agente?
Em 2026, a Sophos mostrou que 42,6% dos bloqueios de acesso a credenciais vieram de um sinal ligado a DPAPI e dados sensíveis de navegador (Sophos X-Ops, "When AI agents look like attackers", 2026). Esse é o tipo de alerta que não vira seguro só porque nasceu de IA.
Se o agente tenta descriptografar credenciais do navegador, listar Credential Manager ou tocar material de sessão, o bloqueio deve ficar. A intenção pode ser automação legítima, mas o privilégio é grande demais. Um agente rodando sob a conta do desenvolvedor herda acesso que ele não deveria usar livremente.
O mesmo vale para persistência. A Sophos observou Cursor escrevendo script em pasta de inicialização, e a MITRE mantém uma estratégia específica para detectar criação em chaves de inicialização ou startup folder, modificada em 12 de maio de 2026 (MITRE ATT&CK, "Detect Registry and Startup Folder Persistence", 2026). Esse padrão exige revisão.
Quando o repositório de origem não é confiável, a resposta deve começar antes do EDR. A abordagem de quarentena de repositório para agentes de código reduz a chance de README, script ou pacote externo empurrar o agente para uma ação que o endpoint terá de bloquear.

Cápsula citável: Acesso a credential store e persistência não devem ser liberados por nome de ferramenta. A Sophos mediu 42,6% dos bloqueios de credenciais ligados a DPAPI, e a MITRE trata startup folder como superfície de persistência detectável.
Como separar ruído de risco sem criar allowlist cega?
Em 2026, a Sophos viu regras silenciosas ligadas a evasão em 38,5% dos sinais de agentes e comando e controle em 34,0% (Sophos X-Ops, "When AI agents look like attackers", 2026). O volume mostra que "permitir ou bloquear tudo" não escala para times reais.
Comece pela origem do processo. Uma exceção aceitável deve amarrar o executável do agente ao workspace esperado, ao diretório temporário controlado, ao destino de rede legítimo e ao comando permitido. Se qualquer peça muda, o alerta volta para revisão. Isso evita uma allowlist que vira túnel para código hostil.
Depois separe classes. Download de runtime assinado pode virar exceção estreita, desde que o domínio, hash e diretório sejam previsíveis. Acesso a credenciais, escrita em inicialização e execução de material vindo de repositório desconhecido continuam bloqueados. A regra deve seguir dano potencial, não irritação do desenvolvedor.
Se o alerta envolve ferramenta externa, trate também como problema de escopo. A lógica de allowlist de MCP para agentes se aplica ao endpoint: ferramenta permitida precisa ter propósito, entrada, saída e limite claros.
| Sinal do agente | Decisão prática |
|---|---|
| Baixar runtime de origem conhecida | Permitir só com destino e hash verificáveis. |
| Tentar outro utilitário após bloqueio | Revisar como comportamento de pivot, não como erro inocente. |
| Acessar credenciais locais | Bloquear e exigir fluxo alternativo sem segredo persistente. |
| Escrever persistência no usuário | Bloquear e mover para instalador confiável ou runner descartável. |
Experiência prática: quando o alerta vem de agente, eu peço a cadeia completa: processo pai, workspace, comando, destino, arquivo escrito e tarefa original. Sem essa cadeia, qualquer decisão vira opinião.
Onde Claude Code e Codex precisam de limites diferentes?
Em 2026, a documentação do Claude Code diz que bypassPermissions desativa prompts e checagens de segurança, e que o modo só deve ser usado em contêineres, VMs ou dev containers sem internet (Claude Code Docs, "Choose a permission mode", 2026). Se esse modo aparece em endpoint comum, trate como risco de plataforma.
No Codex, a documentação de permissões lista três perfis embutidos: read-only, workspace e danger-full-access (OpenAI Codex Docs, "Permissions", 2026). Essa diferença ajuda a desenhar política: leitura para investigação, escrita limitada para implementação e acesso amplo só em ambiente controlado.
Para EDR, o detalhe operacional importa. Claude Code com --dangerously-skip-permissions em laptop corporativo não tem o mesmo risco que Codex em runner descartável com workspace limitado. O nome do agente não basta. A política precisa capturar modo, sandbox, rede, usuário, diretório e fonte do repositório.
Esse modelo também evita repetir o erro descrito em Friendly Fire em revisão de terceiros: o agente não deve ganhar mais autoridade justamente quando está lendo material que pode ter sido escrito por outra pessoa.
Quando o loop precisa atravessar várias tentativas, logs e revisões, eu uso o RemoteCode como ferramenta do autor para estender Claude Code e Codex em fluxos agentic com menos desperdício de contexto. Ele ajuda na coordenação do trabalho; não substitui EDR, sandbox ou aprovação para ações sensíveis.
Cápsula citável: Permissão de agente precisa ser avaliada por modo de execução. Claude Code alerta que
bypassPermissionsdeve ficar em ambiente isolado, enquanto Codex oferece perfis de leitura, workspace e acesso amplo; EDR deve enxergar essas diferenças.
Como levar essa política para CI e DevOps?
Em 2026, um estudo no arXiv sobre rollout da Microsoft examinou dezenas de milhares de engenheiros e encontrou cerca de 24% mais PRs mesclados entre adotantes de agentes CLI (arXiv, "Adoption and Impact of Command-Line AI Coding Agents", 2026). Mais throughput pede mais política automatizada.
Leve a regra para fora do laptop. Runners de CI devem usar conta de serviço estreita, workspace descartável, rede negada por padrão e artefato com comandos executados. Se o agente precisa baixar runtime, o destino deve ser aprovado. Se precisa acessar segredo, o job deve falhar e pedir desenho diferente.

Um contrato simples pode viver no repositório:
politica_de_agente:
ambiente: "runner descartavel"
rede: "bloqueada por padrao"
credenciais_locais: "negadas"
persistencia: "negada"
downloads:
exigir_origem_aprovada: true
exigir_hash_verificado: true
evidencia:
registrar_comandos: true
registrar_workspace: true
registrar_excecoes: true
Esse contrato conversa com evals de PR para agentes no CI e com quarentena de repositório para agentes de código. EDR não deve ser a primeira fronteira. Ele deve confirmar que o runner respeitou o que a política já prometeu.
Cápsula citável: CI reduz o atrito entre agente e EDR quando transforma permissão em artefato. O estudo da Microsoft em 2026 associou agentes CLI a cerca de 24% mais PRs mesclados, então o ganho de fluxo precisa vir acompanhado de prova automatizada.
Checklist de resposta quando o alerta vem de um agente
Em 2026, a MITRE descreve certutil como utilitário que adversários podem usar para baixar arquivos em Ingress Tool Transfer, e a Sophos observou Codex alternando de certutil para bitsadmin ao buscar um instalador legítimo (MITRE ATT&CK, "Ingress Tool Transfer", 2026; Sophos X-Ops, 2026). O mesmo padrão pode ser benigno ou perigoso.
Use esta sequência antes de fechar o alerta:
- Preserve o alerta original com processo pai, usuário, workspace e comando.
- Confirme se o repositório era confiável ou estava em quarentena.
- Separe download, execução, credenciais, persistência e rede em decisões distintas.
- Bloqueie acesso a credential store mesmo quando a tarefa parece legítima.
- Mova automação de navegador para perfil sem credenciais reais.
- Exija runner descartável para
danger-full-accessou modo equivalente. - Registre exceções estreitas por origem, caminho, destino e validade.
- Transforme falso positivo repetido em regra documentada, não em bypass amplo.
O objetivo é preservar sinal. Se o time coloca o agente inteiro em allowlist, perde visibilidade justo quando agentes benignos, agentes comprometidos e atacantes usando agentes começam a produzir telemetria parecida. A resposta madura é mais contexto no alerta, não menos detecção.
Depois que o incidente vira regra, conecte a descoberta ao loop self-correcting de agente no CI. O loop só melhora quando falhas de endpoint geram restrições novas, e não quando o agente aprende a contornar o alarme.
Perguntas frequentes sobre EDR e agentes de código
Todo alerta de agente é falso positivo?
Não. Em 2026, a Sophos disse que a atividade não era necessariamente maliciosa, mas também mostrou acesso a credenciais em 56,2% dos bloqueios ligados a agentes (Sophos X-Ops, "When AI agents look like attackers", 2026). O alerta pode estar certo mesmo quando a intenção era automação.
Posso colocar Claude Code ou Codex em allowlist?
Só de forma estreita. Em 2026, o Codex documenta perfis de permissão que vão de read-only a danger-full-access (OpenAI Codex Docs, "Permissions", 2026). Uma allowlist segura considera perfil, workspace, rede, comando e destino, não apenas o nome do executável.
O que fazer com --dangerously-skip-permissions?
Bloqueie em endpoints comuns. Em 2026, a documentação do Claude Code diz que --dangerously-skip-permissions equivale a bypassPermissions e deve ser usado apenas em ambientes isolados sem internet (Claude Code Docs, "Choose a permission mode", 2026). Em laptop corporativo, isso é exceção de alto risco.
EDR deve bloquear downloads feitos por agente?
Depende do padrão. Em 2026, a MITRE descreve Ingress Tool Transfer como transferência de ferramentas para ambiente comprometido e cita utilitários como certutil (MITRE ATT&CK, "Ingress Tool Transfer", 2026). Permita downloads previsíveis e verificados; investigue pivots entre utilitários e destinos inesperados.
Fontes
- Sophos X-Ops, "When AI agents look like attackers: what behavioral telemetry tells us", consultado em 2026-07-15, https://www.sophos.com/en-us/blog/2607_agents_vs_telemetry
- Claude Code Docs, "Choose a permission mode", consultado em 2026-07-15, https://code.claude.com/docs/en/permission-modes
- OpenAI Codex Docs, "Permissions", consultado em 2026-07-15, https://developers.openai.com/codex/permissions
- OpenAI Codex Docs, "Sandbox", consultado em 2026-07-15, https://developers.openai.com/codex/concepts/sandboxing
- MITRE ATT&CK, "Ingress Tool Transfer", consultado em 2026-07-15, https://attack.mitre.org/techniques/T1105/
- MITRE ATT&CK, "Detect Registry and Startup Folder Persistence", consultado em 2026-07-15, https://attack.mitre.org/detectionstrategies/DET0365/
- arXiv, "Adoption and Impact of Command-Line AI Coding Agents", consultado em 2026-07-15, https://arxiv.org/abs/2607.01418