Defensive Tunneling: Using AI-Powered Honeypots on Your Localhost

In the cybersecurity landscape of 2026, the traditional “walled garden” approach is effectively a relic. Modern attackers are no longer just knocking on your front door — they are using agentic AI to probe every micro-service, scan every exposed port, and fingerprint your localhost environment with frightening precision. If you’re still relying on passive firewalls and security through obscurity, you aren’t just behind the curve. You’re the target.

The numbers back this up. According to HUMAN Security’s 2026 State of AI Traffic and Cyberthreat Benchmark Report, automated traffic grew eight times faster than human traffic year-over-year in 2025, while AI-driven traffic nearly tripled across the same period. Most striking of all: traffic from agentic AI browsers grew 7,851% year-over-year. This isn’t a future threat. It’s happening now.

This guide explores the frontier of active defense networking — specifically, how to set up “Deceptive Tunnels” that don’t just block malicious traffic but actively engage it, feeding fabricated data to malicious crawlers while alerting your Security Operations Center (SOC) in real time.

---

The Threat Has Changed Fundamentally

For decades, defensive strategy was reactive. We waited for a signature to be matched or a threshold crossed. But the attacker profile of 2026 is categorically different.

In November 2025, Anthropic published a detailed report on what it described as the first confirmed AI-orchestrated cyber espionage campaign. The operation, attributed with high confidence to a Chinese state-sponsored group, used AI’s agentic capabilities to automate 80-90% of a large-scale campaign targeting around 30 organizations worldwide. Human operators intervened only occasionally — the agent planned, delegated, and executed multi-step workflows largely on its own.

This isn’t an isolated incident. In May 2025, Palo Alto Networks Unit 42 documented an agentic attack framework that chains AI agents across reconnaissance, initial access, and privilege escalation phases. New offensive tooling is emerging rapidly: Villager wraps LLM automation around CobaltStrike, while HexStrike AI orchestrates roughly 150 existing attack tools into a single agentic pipeline.

Where traditional bots run fixed scripts, AI agents adapt. “They can look at a target and guess the best ways to penetrate it,” says Mark Stockley of Malwarebytes. “That kind of thing is out of reach of dumb scripted bots.” Malwarebytes named agentic AI a notable new cybersecurity threat in its 2025 State of Malware report, and the trajectory suggests the threat will only accelerate.

The cost of inaction is real. The average cost of an AI-powered breach reached $5.72 million in 2025 — a 13% increase over the previous year, according to IBM data. The average breach duration before discovery remains over 200 days.

---

Why Localhost Is No Longer Safe

Most developers assume that a service running on localhost:8080 is secure until it ships to production. In the era of sophisticated supply-chain attacks and remote code execution via browser exploits, “local” is a relative term.

Deceptive tunneling lets you project a fake version of your localhost to the public web, catching reconnaissance bots before they ever find your real application. Traditional tunneling tools like Cloudflare Tunnels or ngrok create a secure bridge from the public internet to your local machine. A Deceptive Tunnel adds a layer of intelligence between the bridge and the destination.

Instead of routing traffic directly to your API or web app, suspicious traffic is routed to an AI-powered honeypot — designed to look like a vulnerable version of your actual stack, perhaps an unpatched LLM-orchestration endpoint or an exposed database.

---

The Evolution of Honeypots: From Static Traps to AI Deception Engines

Honeypots have been part of the security toolkit since the 1980s, but the term “honeypot” has radically changed meaning. Early honeypots were static decoys: canned responses, simple scripts, easy to fingerprint. A sophisticated attacker who noticed that a fake SSH terminal gave the same error every time would simply move on.

The generation of AI-enhanced honeypots emerging in 2025 and 2026 is a different animal entirely.

As Hakan T. Otal, a researcher at the University at Albany’s Department of Information Science, explains: AI-powered honeypots leverage advances in natural language processing and machine learning — particularly fine-tuned large language models — to create highly interactive and realistic systems. These models are trained on datasets of attacker-generated commands and responses to mimic server behaviors convincingly, using techniques like supervised fine-tuning, prompt engineering, and low-rank adaptation.

An IEEE-published study demonstrated exactly this capability, using the LLaMA-3 model to power honeypots that generate contextually appropriate, human-like responses in real time, making it significantly harder for attackers to identify a decoy. The result: attackers don’t bounce off a wall. They wander deeper into a hall of mirrors.

The cybersecurity honeypot market reflects this momentum — it is projected to more than double by 2030, according to Verified Market Reports (2025).

---

The 2026 Toolkit: Real Tools You Can Deploy

Here is where theory becomes practice. Several production-ready tools now make AI-powered deception accessible to individual developers and small security teams.

Beelzebub

The most significant open-source development in this space is Beelzebub, a low-code honeypot framework created by Mario Candela and now developed under Beelzebub Labs. Rather than simulating a system with static scripts, Beelzebub uses an LLM as a high-interaction front-end while maintaining a low-interaction, isolated back-end — eliminating the need for continuous human supervision.

The practical impact is significant. As NEC Security researchers who evaluated the framework noted, the architecture effectively combines the flexibility of high-interaction honeypots with the security of low-interaction ones. Beelzebub can be configured with a single YAML file and integrates with OpenAI’s GPT-4, local models via Ollama, or any OpenAI-compatible API endpoint.

Supported protocols include SSH, HTTP, TCP, Telnet, and — in a notable addition reflecting the current threat landscape — MCP (Model Context Protocol) honeypots designed specifically to detect prompt injection attacks against LLM agents.

The framework currently has 1,800+ GitHub stars, 450+ weekly installs, and active deployments in 45+ countries. It is trusted by organizations from Fortune 500 companies across telecommunications, finance, and critical infrastructure to independent security researchers. Beelzebub has also joined the NVIDIA Inception program.

Minimal SSH honeypot configuration:

# configurations/services/ssh-2222.yaml
apiVersion: "v1"
protocol: "ssh"
address: ":2222"
description: "SSH interactive honeypot"
commands:
  plugin: "LLMHoneypot"
  serverVersion: "OpenSSH"
  serverName: "ubuntu"
  passwordRegex: "^(root|qwerty|123456|admin|postgres)$"
  deadlineTimeoutSeconds: 6000
plugin:
  llmProvider: "ollama"
  llmModel: "llama3:8b"
  host: "http://localhost:11434/api/chat"

For fully offline or air-gapped environments, Beelzebub supports local LLM backends via Ollama, meaning you are not dependent on sending attacker data to a third-party cloud API.

T-Pot

Deutsche Telekom Security’s T-Pot is the comprehensive option — an all-in-one, Dockerized platform combining more than 20 protocol-specific honeypots with analytics via the Elastic Stack. Recent versions have introduced LLM-driven interaction modules, letting tools like Beelzebub (SSH) and Galah (HTTP) generate dynamic attacker engagement. T-Pot runs on everything from cloud VMs to Raspberry Pi 4 and supports both x86 and ARM64 architectures.

Cowrie

Cowrie remains the community standard for SSH and Telnet honeypots. Unlike low-interaction decoys, it simulates a convincing Linux-like shell and fake file system, recording every command an intruder types. It also supports a proxy mode where traffic is relayed to a real backend while Cowrie logs the full session transparently.

---

Step-by-Step: Building a Deceptive Tunnel

The following walkthrough builds a deceptive tunnel that uses an AI-proxy to engage attackers, with Beelzebub as the honeypot engine and Cloudflare Tunnels for public exposure.

Prerequisites

• Docker — for containerized, isolated honeypot deployment
• Python 3.12+ — for the classification proxy layer
• Ollama — to run a local LLM (Llama 3 8B works well on consumer hardware)
• cloudflared — Cloudflare’s tunnel client

Step 1: Launch Ollama Locally

docker run -d --name ollama \
  -p 11434:11434 \
  -v ollama_data:/root/.ollama \
  -e OLLAMA_HOST=0.0.0.0:11434 \
  ollama/ollama

# モデルをプル
docker exec ollama ollama pull llama3:8b

Step 2: BeelzebubをDocker Composeで展開

# docker-compose.yml
services:
  beelzebub:
    image: mariocandela/beelzebub:latest
    ports:
      - "2222:2222"   # SSHハニーポット
      - "9000:80"     # HTTPハニーポット
    volumes:
      - ./configurations:/app/configurations
    environment:
      - LOG_LEVEL=debug
    networks:
      - deception-net

networks:
  deception-net:
    driver: bridge

Step 3: AI分類プロキシ

Beelzebubに到達する前に、軽量なプロキシがトラフィックを分類します。リクエストが悪意的かどうかの確率は、行動指標（リクエスト頻度（$f$）、ペイロードのエントロピー（$e$）、既知の悪意的シグネチャ（$s$））を用いてモデル化できます:

$$P(M) = \frac{w_1 f + w_2 e + w_3 s}{T}$$

ここで、$T$は総リクエスト数、$w$は各要素の重みです。$P(M) \gt 0.85$の場合、Deceptive TunnelはAI応答エンジンを起動します。

# proxy.py — 最小限の分類層
from fastapi import FastAPI, Request
import httpx, math, re

app = FastAPI()
HONEYPOT_URL = "http://localhost:9000"
REAL_APP_URL = "http://localhost:8080"

MALICIOUS_PATTERNS = [
    r"\.env", r"/admin", r"/wp-admin", r"union.*select",
    r"<script", r"prompt\s*injection", r"ignore.*previous"
]

def payload_entropy(data: str) -> float:
    if not data:
        return 0.0
    freq = {c: data.count(c) / len(data) for c in set(data)}
    return -sum(p * math.log2(p) for p in freq.values())

def is_malicious(path: str, body: str) -> bool:
    sig_score = any(re.search(p, path + body, re.IGNORECASE) for p in MALICIOUS_PATTERNS)
    entropy_score = payload_entropy(body) > 4.5
    return sig_score or entropy_score

@app.api_route("/{path:path}", methods=["GET", "POST", "PUT", "DELETE"])
async def route(request: Request, path: str):
    body = (await request.body()).decode("utf-8", errors="ignore")
    target = HONEYPOT_URL if is_malicious(f"/{path}", body) else REAL_APP_URL
    async with httpx.AsyncClient() as client:
        resp = await client.request(
            method=request.method,
            url=f"{target}/{path}",
            headers=dict(request.headers),
            content=body,
        )
    return resp.json()

Step 4: Cloudflareトンネル経由で公開

# 一度認証
cloudflared tunnel login

# トンネル作成
cloudflared tunnel create deceptive-trap

# 実行
cloudflared tunnel run --url http://localhost:9000 deceptive-trap

これで、trap.yourdomain.comにアクセスするクローラーは、リソースを浪費させるために特別に設計されたLLMと対話しながら、あなたのSOCがリアルタイムで監視します。

---

2026年のボット検出：味方と敵の見分け方

アクティブディフェンスの最大のリスクの一つは、正規のボット（Googlebot、パートナーAPI、監視サービスなど）を誤って誘導してしまうことです。現代のAI搭載ハニーポットは、User-Agent文字列の単純な一致を超えた検出技術を採用しています。

行動指紋付け

Palisade Researchの研究者たちは、野生のAI攻撃者を検出するためのシステム「LLM Agent Honeypot」を構築しました。2024年10月の公開以降、1100万以上のアクセス試行を記録し、その中で二つの本物のAIエージェントを確認。これらは応答時間やマルチステップ指示の追従能力から人間やダムボットと区別されます。

現在の検出技術には:

タイピングリズム分析。 SSHタイプのインタラクティブハニーポットでは、キー入力間のミリ秒単位の差を測定。人間は自然なばらつきがあり、スクリプト化されたボットはリズムが一定か非常に高速です。

ナビゲーションフロー分析。 悪意のあるクローラーは、/.env、/admin、/wp-admin、/api/keysなどの敏感なパスに直行しがちです。正規のインデクサはリンクをたどって段階的に進みます。

応答時間の指紋付け。 LLMエージェントは、「カナリア命令」に対して1.5秒以内に応答します。これは人間が読む・打つよりもはるかに速く、タイミング信号を用いてエージェントと人間を区別します。

ヘッドレスブラウザ検出。 Webベースのハニーポットでは、マウス動作やマイクロインタラクションの解析により、SeleniumやPlaywrightのヘッドレスブラウザと実ユーザを高精度で区別可能です。

SANS Instituteの調査では、ハニーポットは80%の攻撃シナリオを検知できると報告されており、従来のファイアウォールよりも高い検知率を示しています。

---

リアルタイムSOCアラート

ハニーポットは、誰も気づかずに攻撃されているだけでは意味がありません。監視スタックに直接統合しましょう。

SIEM連携。 BeelzebubはELKスタック（Elasticsearch、Logstash、Kibana）、Grafana用のPrometheusメトリクス、RabbitMQのイベントストリーミング、標準出力のJSONログ出力をサポートし、あらゆるSIEMに取り込み可能です。SOCFortressは、Beelzebub用のWazuhルールを公開し、ハニーポットのアラートを直接インシデントキューに流します。

Webhook通知。 高信頼性の悪意あるインタラクションは、IPアドレス、セッションの内容、コマンドシーケンスを含むWebhookペイロードをSlackやPagerDuty、Discordに送信可能です。

自動隔離。 IPがハニーポットと通信していることが確認された場合、境界ファイアウォールは自動的にそのアドレスを全インフラから遮断します。

ハニートークン。 偽のファイルシステム内に追跡用ファイルを仕込み、開封や持ち出しがあった瞬間に高優先度のアラートを発生させます。これらのトークンは、正規ユーザがアクセスすることはほぼないため、誤検知がほとんどありません。

---

MCPハニーポット：2026年の新たな懸念

Beelzebubの最新機能として特に注目すべきは、Model Context Protocol (MCP)です。これはAIエージェントと外部ツールやデータソースをつなぐ標準規格となりつつあります。MCPは攻撃の標的になりやすいポイントです。

BeelzebubのMCPハニーポットは、エージェントが通常呼び出さないようなダミーツールです。これをエージェントのパイプラインに組み込むことで、リアルタイムのガードレール突破検知、悪意のあるプロンプトの自動収集とフィルタリング改善、プロンプトインジェクション攻撃のトレンド監視といった3つのメリットがあります。

特に、2026年後半のセキュリティ研究で指摘された、メモリ汚染（Memory Poisoning）と呼ばれる脅威パターンに対処します。攻撃者が長期記憶に誤った命令を植え付け、エージェントが自律的に実行してしまうリスクです。

---

倫理的・法的考慮事項

アクティブディフェンスは強力ですが、適切に扱う必要があります。

隔離は絶対条件。 本番データと同じネットワークセグメントにハニーポットを置かない。適切なハニーホール設定とネットワーク分離を行い、コンテナからの脱出を防ぎましょう。Dockerのネットワークネームスペースや読み取り専用ボリュームマウントが基本です。

ハックバック禁止。 ハニーポットは情報収集のためのものであり、攻撃者のマシンに対してコードを実行しない。法的にも、米国のCFAA（Computer Fraud and Abuse Act）をはじめ、多くの法域で無許可のアクセスは違法です。

プライバシー管理。 公開URLに誘導された正規ユーザのPIIを誤って取得しないよう注意。攻撃者のセッションデータは記録しますが、訪問者のメタデータは収集しないこと。

正規ボットのホワイトリスト化。 GooglebotやBingbot、UptimeRobotなどの信頼済みクローラーのIP範囲をホワイトリストに登録し、標準応答に誘導します。HUMAN Securityの2026年レポートによると、AIトラフィックの大半はOpenAI（69%）、Meta（16%）、Anthropic（11%）が占めており、アクセス方針の決定は少数の企業に大きな影響を与えます。

Hakan T. Otal（SUNY Albany研究者）は、技術革新と倫理的配慮のバランスを取ることの重要性を強調し、学界・産業界・公共部門の協力が必要だと述べています。

---

今後のレース展望

AI搭載ハニーポットは静的スクリプトよりも検知が難しくなっていますが、競争は続きます。高度な攻撃者は、LLM推論呼び出しの応答遅延パターンやAI生成の文章の「味」を見抜く可能性があります。

対策としては、応答の遅延をランダム化（レスポンスジッター）、ドメイン特化のコマンドデータセットでモデルを微調整、多モデルのアンサンブルによる応答スタイルの多様化などがあります。

研究者たちは、フェデレーテッドラーニングを用いたハニーポットの分散型共有システムや、Code+プログラムによるLLM活用の高速プロトタイピングを進めており、70以上の大学と連携しています。

サイバーセキュリティ業界は、反応型から予防型へとシフトしています。AIハニーポットは、その先の、インテリジェンスに基づく防御を実現し、攻撃者よりも一歩先を行く体制を築きます。

---

よくある質問

ローカルマシンの速度は遅くなりますか？ 現代の量子化されたLLMは、Ollamaを使えば消費者向けハードウェアでも効率的に動作します。運用環境では、専用の防御用マシンや低コストVPSの利用がおすすめです。

攻撃者はAIを検知できますか？ 一部の高度な攻撃者は、LLM特有の遅延や文章パターンに気づく可能性があります。ジッターや微調整済みローカルモデルでリスクを低減できます。重要なのは、たとえ不完全でも、欺瞞は攻撃者のリソースを浪費させ、脅威情報を生み出す点です。

個人がアクティブディフェンスネットワークを使うのは合法ですか？ 基本的に、自身のインフラ内に限定すれば合法です。許可されていない者に混乱をもたらす目的の仕組みを提供する権利があります。ただし、攻撃者のマシンにコードを実行しようとする行為は、法的に禁止されています。

LLMハニーポットのコストは？ 商用API（GPT-4、Claude）を使うと、コマンドごとにトークン課金が発生します。ローカルモデルならコストはゼロで、継続的な公開運用に適しています。

BeelzebubとCowrieの違いは？ Cowrieは成熟したSSH/Telnetハニーポットで、詳細なセッション記録とコミュニティが充実しています。静的またはスクリプト応答を使用。一方、BeelzebubはLLMを用いて動的応答を生成し、識別が格段に難しくなっています。T-Potはこれらを含む複数のツールを一つのスタックにまとめています。

---

参考資料

• Beelzebubオープンソースフレームワーク
• Anthropic：最初のAIオーケストレーションサイバー諜報活動の妨害
• HUMAN Security：2026年AIトラフィック＆サイバー脅威ベンチマーク
• MIT Technology Review：AIエージェントによるサイバー攻撃が迫る
• Barracuda Networks：Agentic AI — 2026年の脅威増幅装置
• IEEE：LLMを活用した適応型サイバーセキュリティ応答のハニーポット