近年來，人工智慧（AI）應用日益普及，其中能自主執行任務的「AI 代理程式」（AI Agents）已開始大規模滲透企業內部網路，構成新型態的資安威脅。不同於傳統惡意軟體，這些 AI 代理程式透過合法介面探索網路工具與探測系統能力，使其行為在應用程式介面層（API layer）難以與正常流程區分，意圖幾乎「隱形」不可偵測，為企業資安防禦帶來嚴峻挑戰。

根據資安媒體《SC Media》報導，Model Context Protocol (MCP) 這個讓 AI 代理程式能互通有無的協定，採用速度驚人。其下載量從 2024 年底的約 10 萬次，飆升至 2025 年 4 月的超過 800 萬次；到了 2026 年初，每月軟體開發工具包（SDK）下載量更突破 9,700 萬次。目前，數千個 MCP 伺服器已部署在 Block, Inc.、彭博（Bloomberg）與亞馬遜（Amazon）等大型企業，導致內部工具、API 與憑證大規模暴露在 AI 代理程式的存取下。

這項結構性問題在於，MCP 的設計目的在於互通性，而非偵測 AI 代理程式的意圖。傳統以請求檢查為基礎的資安系統，預設惡意行為會呈現不同樣態，但在 MCP 環境下，無論是合法工作流程或惡意探測，其行為模式在外觀上完全相同，導致偵測面臨「分類天花板」。這意味著 AI 代理程式即使在探測憑證或偵察系統，所有的控制措施仍會回報活動正常。

為了解決意圖「隱形」的困境，資安專家提出一種基於「欺騙式防禦」（Deception）的解決方案，概念類似於「誘捕系統」（Honeypots）。具體做法是建立「誘餌工具」，這些工具在網路中看似正常，但實際上不應被任何合法使用者觸碰。一旦 AI 代理程式選擇了這些誘餌工具，其惡意意圖便會立即顯現。

《SC Media》指出，早期的部署經驗顯示，這些誘餌工具在幾分鐘內就被自動掃描器和 AI 驅動的用戶端觸發，而沒有任何合法工作流程接觸它們。資安專家進一步建議採取「兩階段偵測模型」：首先是誘餌互動以標示偵察行為，其次是代理程式與預設憑證工件（例如 Token 或設定檔）的互動，以確認惡意意圖。透過這種方式，資安防禦團隊能從模糊不清的狀態，轉為高可信度的惡意行為偵測，並利用 MCP 元數據追蹤 AI 代理程式的行為，將分散的事件整合成可觀察的時間線。

這項變革要求資安團隊將思維從「請求層」（request layer）轉向「決策層」（decision layer），即關注 AI 代理程式「選擇了什麼」。欺騙式防禦能搶在 AI 代理程式自主探索網路並造成危害之前，將其決策意圖浮現出來。