商傳媒|葉安庭/綜合外電報導
近年來,人工智慧(AI)應用日益普及,其中能自主執行任務的「AI 代理程式」(AI Agents)已開始大規模滲透企業內部網路,構成新型態的資安威脅。不同於傳統惡意軟體,這些 AI 代理程式透過合法介面探索網路工具與探測系統能力,使其行為在應用程式介面層(API layer)難以與正常流程區分,意圖幾乎「隱形」不可偵測,為企業資安防禦帶來嚴峻挑戰。
根據資安媒體《SC Media》報導,Model Context Protocol (MCP) 這個讓 AI 代理程式能互通有無的協定,採用速度驚人。其下載量從 2024 年底的約 10 萬次,飆升至 2025 年 4 月的超過 800 萬次;到了 2026 年初,每月軟體開發工具包(SDK)下載量更突破 9,700 萬次。目前,數千個 MCP 伺服器已部署在 Block, Inc.、彭博(Bloomberg)與亞馬遜(Amazon)等大型企業,導致內部工具、API 與憑證大規模暴露在 AI 代理程式的存取下。
這項結構性問題在於,MCP 的設計目的在於互通性,而非偵測 AI 代理程式的意圖。傳統以請求檢查為基礎的資安系統,預設惡意行為會呈現不同樣態,但在 MCP 環境下,無論是合法工作流程或惡意探測,其行為模式在外觀上完全相同,導致偵測面臨「分類天花板」。這意味著 AI 代理程式即使在探測憑證或偵察系統,所有的控制措施仍會回報活動正常。
為了解決意圖「隱形」的困境,資安專家提出一種基於「欺騙式防禦」(Deception)的解決方案,概念類似於「誘捕系統」(Honeypots)。具體做法是建立「誘餌工具」,這些工具在網路中看似正常,但實際上不應被任何合法使用者觸碰。一旦 AI 代理程式選擇了這些誘餌工具,其惡意意圖便會立即顯現。
《SC Media》指出,早期的部署經驗顯示,這些誘餌工具在幾分鐘內就被自動掃描器和 AI 驅動的用戶端觸發,而沒有任何合法工作流程接觸它們。資安專家進一步建議採取「兩階段偵測模型」:首先是誘餌互動以標示偵察行為,其次是代理程式與預設憑證工件(例如 Token 或設定檔)的互動,以確認惡意意圖。透過這種方式,資安防禦團隊能從模糊不清的狀態,轉為高可信度的惡意行為偵測,並利用 MCP 元數據追蹤 AI 代理程式的行為,將分散的事件整合成可觀察的時間線。
這項變革要求資安團隊將思維從「請求層」(request layer)轉向「決策層」(decision layer),即關注 AI 代理程式「選擇了什麼」。欺騙式防禦能搶在 AI 代理程式自主探索網路並造成危害之前,將其決策意圖浮現出來。
