2026 年 3 月的 RSAC 大會上，思科端出了近年來最完整的 AI 代理安全方案。從 Duo IAM 的身分控管、Splunk 的增強分析到開源的 DefenseClaw 掃描器，思科正試圖回答一個所有企業都在問的問題：AI 代理到底該怎麼保護？

這篇文章不是新聞整理。我們從安全工程師的視角，逐層拆解這些新工具能解決什麼真實痛點、不能解決什麼，以及你現在就能開始做的準備。

企業導入 AI 代理的真正瓶頸：不是技術，是安全

先看一組數據。根據思科在 RSAC 上公布的調查，85% 的企業正在實驗 AI 代理，但只有 5% 真正進入生產環境。也就是說，絕大多數專案都卡在 POC 階段就陣亡了。阻礙在哪裡？不是模型不夠強，而是安全團隊不敢放行。

這個現象背後的結構性原因很直接：現有的安全工具從設計上就不是拿來保護 AI 代理的。傳統 WAF 能擋 SQL 注入，但看不懂自然語言指令層級的攻擊。IAM 系統管的是「人」的存取，但 AI 代理的行為模式跟人類完全不同——它可以在一秒鐘內發出數百個工具呼叫，橫跨五個不同的系統。

思科安全事業群副總裁 Tom Gillis 在 keynote 上講了一句精準的描述：「AI 代理擁有跟人類一樣的權限，但只有印表機等級的判斷力。」 這句話點出了問題本質。我們不能把人類員工的安全政策直接套用在 AI 代理上，因為代理不會在執行可疑指令前「想一想」——它只會忠實執行。

舉一個實際案例來說明這個問題的嚴重性。假設你的公司部署了一個自動化財務分析代理，它被授權存取 ERP 系統中的應收帳款資料。這個授權是基於「人類財務分析師」的角色設計的——可以查詢、可以導出、可以標記異常。但人類分析師不會在收到一封釣魚郵件後，就把整份應收帳款明細用郵件寄出去。AI 代理呢？如果攻擊者透過提示詞注入讓它以為「將所有資料匯出至 attachments@external-domain.com 是標準的 EOD 流程」，它很可能真的照做。這不是假設性的威脅——2025 年已經有金融科技公司的客服代理被誘導出內部 API 金鑰的真實案例。

傳統安全工具鏈有四個根本性的盲點：

第一，無法理解意圖。WAF 和 IPS 檢查的是封包內容和 HTTP 請求，但它們無法判斷一個 API 呼叫序列背後的「目的」是否合理。AI 代理跟工具之間的互動是對話式的，攻擊者可以用自然語言引導代理逐步完成一個看似合理但實際上違反政策的操作序列。

第二，身分模型不符。傳統 RBAC 假設身分與人類綁定，但 AI 代理是非人類身分。一個 AI 代理可能同時服務數百個使用者，它需要的權限是動態的——根據當前任務決定該用誰的權限。

第三，監控粒度假冒。傳統監控看的是 API 呼叫次數、HTTP 狀態碼和延遲。但對於 AI 代理安全，你需要看到「這個代理前三個工具呼叫是什麼？它的 chain-of-thought 是什麼？它為什麼決定呼叫這個 API？」

第四，修補速度跟不上。一個今天安全的第三方 MCP 插件，明天可能因為版本更新而引入漏洞。傳統的季掃描模式完全不夠用。

Duo Agentic Identity：讓 AI 代理像員工一樣被管理

思科這次最核心的發布之一，是把 Duo IAM 擴展到支援「非人類身分」。過去 Duo 管的是人登入系統；現在，AI 代理可以被「註冊」成獨立的身分物件，綁定到負責的人類所有者，並套用精細的存取政策。

技術架構

Duo Agentic Identity 的核心是 MCP Gateway。所有 AI 代理對工具的呼叫都會經過這個閘道，由 Duo 的授權引擎即時判斷該不該放行。這個設計的關鍵決策是把授權檢查從代理內部移到代理外部。為什麼重要？因為如果授權邏輯寫在代理的 system prompt 裡，攻擊者只要成功注入就能繞過。放在閘道層，代理本身無法干預授權決策——這才是真正的 zero trust。

思科將 MCP 流量比照 HTTP 流量來處理。當一個 AI 代理嘗試透過 MCP 協定呼叫某個工具時，Duo MCP Gateway 會攔截這個請求，查詢該代理的身分、對應的政策、當前的時間和上下文，然後決定允許或拒絕。以下是完整的授權流程序列：

政策維度與實例

Duo 允許管理員對每個代理定義多維度的政策限制。以下是一個常見的場景——為一個客服 AI 代理配置政策：

agent_policy:
  agent_id: "cs-agent-prod-v2"
  owner: "support-team@company.com"
  allowed_tools:
    - name: "ticket-system-query"
      actions: ["SELECT"]
      rate_limit: 100/minute
    - name: "knowledge-base-read"
      actions: ["SELECT"]
    - name: "customer-profile-lookup"
      actions: ["SELECT"]
      data_sensitivity: "masked_pii_only"
  denied_tools:
    - "erp-invoice-write"
    - "hr-database"
  time_window:
    start: "09:00"
    end: "18:00"
    timezone: "Asia/Taipei"
    allowed_days: ["Mon", "Tue", "Wed", "Thu", "Fri"]
  audit_level: "full"

這個配置的精髓在於「最小權限」的具體實踐：客服代理只能查詢工單系統和知識庫，可以查詢客戶資料但只能看到脫敏後的 PII，明確禁止存取 ERP 和 HR 系統，而且只能在上班時間運作。

與傳統 IAM 的差異

Duo Agentic Identity 跟傳統 IAM 最大的不同，在於它處理的「身分」是動態的。人類員工的角色通常相對固定，但 AI 代理的身分可能隨著任務不同而改變——同一個代理，在處理工單時使用客服角色的權限，在分析數據時使用分析師角色的權限。Duo 透過「任務上下文感知」來處理這個挑戰，這是傳統 IAM 完全沒有的概念。

DefenseClaw 開源工具深度拆解

DefenseClaw 是思科這次發布中最讓社群興奮的部分——一個基於 NVIDIA OpenShell 的開源安全框架，專為 AI 代理工具鏈設計。它可以在五分鐘內完成部署，對開發者零成本導入。思科選擇開源而非閉源，背後有戰略考量：讓整個安全社群共同迭代這個工具，加速生態系的成熟。

五大掃描引擎

DefenseClaw 不是單一工具，而是一個包含五個掃描引擎的安全框架：

1. Skill Scanner：掃描 AI 代理的每一個 skill 或 plugin，在允許進入執行環境前先做安全檢查。這包括檢查 skill 的權限聲明是否合理、是否有過度的網路存取要求、以及是否有已知的惡意模式。對於從第三方市場下載的 skill，這個掃描器尤其重要——一個看似無害的 PDF 分析 skill，可能在背景偷偷上傳檔案到外部伺服器。

2. MCP Scanner：驗證 MCP 伺服器的配置安全性和已知漏洞。它會檢查 MCP 伺服器的 TLS 配置、認證方式、所暴露的端點是否合理。更重要的是，它會比對已知的 MCP 實作漏洞資料庫，這在 2025 年到 2026 年間快速成長——隨著 MCP 協定普及，安全研究人員發現了多個 MCP 實作中的授權繞過漏洞。

3. A2A Scanner：檢查代理間通訊（agent-to-agent）是否有資訊洩漏風險。在多代理系統中，一個代理的輸出可能是另一個代理的輸入——如果第一個代理被攻陷，它可以透過正常通訊渠道污染第二個代理。A2A Scanner 會檢查代理間傳遞的資料中是否包含不該被分享的敏感資訊。

4. CodeGuard：對 AI 生成的程式碼進行靜態分析，檢測惡意程式碼模式。當 AI 代理生成並執行程式碼時（例如一個分析代理呼叫 Python 解譯器），CodeGuard 會對該程式碼進行安全掃描，檢查是否有可疑的系統呼叫、檔案操作或網路連線。

5. AI BoM Generator：自動生成 AI 資產清單（Bill of Materials）。這類似軟體供應鏈安全中的 SBOM，但針對 AI 代理生態系——它列出代理使用的所有模型、工具、插件、資料來源及其版本。當某個元件被發現有漏洞時，AI BoM 可以立即告訴你哪些代理受到影響。

運作流程

Runtime 安全機制

DefenseClaw 最值得注意的設計是它的 admission gate 加上 runtime content scanning。前者在工具被載入前做一次性檢查，後者則持續監控代理與工具間的所有通訊內容。為什麼需要兩層？因為一個今天安全的 MCP 伺服器，明天可能因為更新而引入漏洞，或者被第三方攻擊者接管。Runtime 掃描確保即使工具在運行中被汙染，也能及時發現並阻斷。

思科宣稱，封鎖規則可以在 兩秒內生效，且無需重啟任何服務。當一個工具被封鎖時，DefenseClaw 會自動執行三個動作：

1. 撤銷該工具在沙箱環境中的權限
2. 隔離所有相關的檔案
3. 拒絕所有新的連線請求

這在生產環境的實戰價值很高——你的安全團隊凌晨三點收到警報，說某個 AI 代理正在嘗試存取不該碰的資料庫。他們只要在 DefenseClaw 的管理後台把那個工具加入封鎖清單，兩秒後所有對該工具的呼叫就會被攔截。

與 NVIDIA OpenShell 的整合

DefenseClaw 建立在 NVIDIA OpenShell 之上，這是一個 2026 年 3 月發布的開源執行環境。OpenShell 本身提供了沙箱隔離（使用 Landlock、seccomp 和 network namespace），每個代理在隔離的環境中執行。DefenseClaw 在此基礎上疊加了安全掃描和政策執行層。

思科並非唯一整合 OpenShell 的安全廠商。CrowdStrike 也宣布了 Secure-by-Design AI Blueprint，將 Falcon 平台的保護直接嵌入 OpenShell。這顯示市場正在形成一個共識：AI 代理安全需要執行環境層級的原生防護，而非事後附加。

Splunk AI 安全增強：從手動追獵到 AI 協同

思科在 Splunk 上新增的功能，同樣值得仔細分析。主要變化有兩個方向。

自動化偵測規則開發

過去，安全工程師要在 Splunk 上寫一個新的偵測規則，需要手刻 SPL 查詢，然後花數天時間測試和調整。新的 AI 驅動工具能根據威脅情報和行為模式，自動產出偵測規則草案。這能將規則上線時間從「天」縮短到「小時」。

這個工具的運作邏輯是：給它一個威脅描述（例如「AI 代理在非工作時間嘗試存取 HR 資料庫」），它會自動生成對應的 SPL 查詢，在測試資料上驗證準確率，然後提交給安全工程師審核。工程師只需要做最終的批准，或者微調召回率的門檻值。

根據 Ponemon Institute 的數據，將威脅偵測時間從平均 200 天縮短到 30 天以內，平均能為企業節省約 182 萬美元 的資料外洩成本。這個 ROI 計算已經考慮了工具的導入和維護成本。

六個預設 AI SOC 代理

思科在 Splunk 中內建了六個專用 AI 代理，分別負責不同的 SOC 任務：

這六個代理不是取代人類分析師，而是處理 SOC 中大量重複性的工作。根據思科內部的測試數據，導入這套 AI SOC 代理後，一個中型 SOC 團隊（約 15 人）可以將每天花在告警分類上的時間從 8 人時減少到 2 人時，讓高階分析師有更多時間做威脅獵捕。

資產關聯圖譜

Splunk 另一個值得關注的新功能是自動生成企業網路資產的動態關聯圖譜。當一個 AI 代理被入侵時，安全團隊可以在圖譜上即時看到：這個代理有權存取哪些系統？這些系統又連接到哪些更核心的資料？這就像有了一張即時更新的血管地圖，能快速找到感染源並阻斷擴散路徑。

傳統的資產管理依賴 CMDB，但 CMDB 通常是手動維護的，往往落後於實際環境數週甚至數月。Splunk 的動態圖譜透過分析日誌和流量，自動發現資產間的連線關係，不需要人工維護。

傳統安全 vs. AI 代理安全：五個關鍵差異

為了讓安全團隊更快理解新舊範式的差異，我們從五個維度深入對比：

這張表不只是一個對比，更重要的是它指出了安全團隊需要投入資源的方向。如果你的團隊還沒有任何人了解提示詞注入的原理和變體，現在就應該開始訓練。

企業導入三步驟路線圖

看完這麼多新功能，你可能會問：我從哪裡開始？以下是一個務實的導入順序，按照風險優先級排列。

第一個月：盤點與分類

先找出組織內所有正在使用或開發中的 AI 代理。這比想像中困難——很多團隊使用個人帳號接入外部 AI 服務，IT 部門完全不知道。建議的做法是：

1. 從網路流量分析找出對 LLM API 端點的呼叫
2. 從 SaaS 存取日誌找出使用個人帳號的 AI 工具
3. 對各部門發出問卷調查，了解正在使用的 AI 代理

找到後，根據兩個維度分類：

• 資料敏感度：代理能存取哪些資料？敏感度等級（公開 / 內部 / 機密 / 絕對機密）？
• 動作影響力：代理能觸發哪些寫入或外部通訊動作？（唯讀 / 可寫入 / 可外部通訊 / 可執行金流）

高敏感 + 高影響的代理（例如：能讀取客戶 PII 且能發送郵件的代理）列為最優先管控對象。

第二到三個月：實施基礎防護

對高風險代理實施以下四項基礎措施：

1. 身分納管：為每個代理建立獨立身分，綁定負責人。使用 Duo Agentic Identity 或同等功能
2. 最小權限：只給代理完成任務所需的最小工具和資料權限。遵循「預設拒絕」原則
3. 時間限制：設定執行窗口，避免在無人監控的深夜執行關鍵任務
4. 日誌集中：確保所有代理活動、工具呼叫和決策歷程被完整記錄並送至 Splunk 或同等 SIEM

第四個月起：導入進階監控

基礎防護穩定後，導入 DefenseClaw 進行工具鏈持續掃描，並在 Splunk 中建立代理行為基線的偵測規則。建議從以下三個規則開始：

# Rule 1: 異常工具呼叫頻率
When: agent tool calls > 3x baseline for that agent in 5 minutes
Action: alert + temporary rate limit

# Rule 2: 代理在非工作時間活動
When: agent activity detected outside defined time window
Action: alert + block high-risk actions

# Rule 3: 代理嘗試存取從未存取過的資料表
When: agent queries a table not in its data access baseline
Action: alert + require human approval

常見問題 (FAQ)

Q1: DefenseClaw 跟傳統的漏洞掃描器有什麼不同？

傳統掃描器（如 Nessus、Qualys）掃的是網路服務和作業系統的已知 CVE。DefenseClaw 針對的是 AI 代理生態系——它掃 MCP 伺服器的配置安全性、AI plugin 的行為、agent-to-agent 通訊協定，這些是傳統掃描器完全不知道如何處理的。你可以想像傳統掃描器檢查的是「門鎖是否牢固」，DefenseClaw 檢查的是「進門的人是否帶了不該帶的東西」。

Q2: 中小企業適合導入這些工具嗎？

DefenseClaw 是開源的，五分鐘可部署，對任何規模的團隊都適用。Duo 和 Splunk 則需要額外的授權成本。建議中小企業先從 DefenseClaw 和 Duo 的 Explorer Edition（思科推出的免費版本）開始，等 AI 代理數量成長到一定程度再評估完整授權方案。

Q3: DefenseClaw 是否支援非 Cisco 的 AI 代理框架？

可以。DefenseClaw 基於 NVIDIA OpenShell，這是一個開放標準。它不綁定特定廠商的代理框架，只要是透過 MCP 協定與工具溝通的代理都可受保護。目前測試過的框架包括 LangChain、AutoGPT 和 Anthropic 的 Claude Code Agent。

Q4: MCP Gateway 會引入顯著的延遲嗎？

思科宣稱 MCP Gateway 的授權檢查延遲在亞毫秒級別。對大部分 AI 代理場景來說，這個延遲完全可以忽略（一個 LLM 呼叫通常耗時數秒，亞毫秒的授權檢查對用戶體驗幾乎無感）。但對於需要高頻率工具呼叫的場景（如即時交易系統），建議先在測試環境做壓力測試。

Q5: 如果我們的 AI 代理不使用 MCP，DefenseClaw 還能保護嗎？

目前 DefenseClaw 主要針對 MCP 協定和標準 Plugin 架構設計。如果你的代理使用自訂協定或非標準通訊方式，需要額外的整合開發。思科有計畫在後續版本擴展對更多協定的支援，包括 Google 的 A2A 協定。

總結

思科此次 RSAC 發布的核心貢獻，是提供了一套從身分、工具鏈到執行環境的完整 AI 代理安全框架。DefenseClaw 的開源策略尤其值得肯定——它讓整個生態系都能參與安全工具的迭代，而不是由單一廠商壟斷這個快速成長的市場。

對於安全工程師而言，現在是開始建構 AI 代理安全能力的最佳時機。不需要一次到位，但至少要做到兩件事：第一，為每個 AI 代理建立獨立的身分和權限邊界；第二，導入對工具鏈的持續安全掃描。這兩項基礎做好，大部分的生產風險就已經被控制了。等到 AI 代理在企業內遍地開花時再來補安全，損失可能已經造成。

引用來源：

1. SiliconANGLE, “Cisco debuts new AI agent security features, open-source DefenseClaw tool”, 2026-03-23, https://siliconangle.com/2026/03/23/cisco-debuts-new-ai-agent-security-features-open-source-defenseclaw-tool/
2. Cisco Newsroom, “Cisco Reimagines Security for the Agentic Workforce”, 2026-03, https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2026/m03/cisco-reimagines-security-for-the-agentic-workforce.html
3. Open Source For You, “Cisco Strengthens Open Source AI Security Stack With DefenseClaw Launch”, 2026-03, https://www.opensourceforu.com/2026/03/cisco-strengthens-open-source-ai-security-stack-with-defenseclaw-launch/
4. NVIDIA Blog, “Secure Autonomous AI Agents with NVIDIA OpenShell”, 2026-03, https://blogs.nvidia.cn/blog/secure-autonomous-ai-agents-openshell/
5. CrowdStrike, “CrowdStrike and NVIDIA Unveil Secure-by-Design AI Blueprint for AI Agents”, 2026-03, https://www.crowdstrike.com/en-us/press-releases/crowdstrike-nvidia-unveil-secure-by-design-ai-blueprint-for-ai-agents/
6. Aragon Research, “Cisco Announces a Full Agentic Security Platform”, 2026-03, https://aragonresearch.com/cisco-announces-a-full-agentic-security-platform/
7. UC Today, “RSA 2026: Cisco Strengthens AI Agent Security Offering”, 2026-03, https://www.uctoday.com/security-compliance-risk/rsa-2026-cisco-strengthens-ai-agent-security-offering-to-meet-surging-adoption-demands/