根據(jù)云安全專家 Akamai 本周發(fā)布的數(shù)據(jù)，2023 年至 2024 年期間，實際觀察到超過 1500 億次應(yīng)用程序編程接口 ( API ) 攻擊，這與 AI 驅(qū)動的 API 以及 AI 支持的攻擊方式的增長相結(jié)合，共同推動了攻擊面不斷擴大的趨勢。

在最新發(fā)布的《2025 應(yīng)用程序與 API 安全現(xiàn)狀報告》中，Akamai 表示，在 2024 年，基于網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊數(shù)量整體增長了三分之一，總計達 3110 億次，這一顯著激增似乎與 AI 帶來的威脅范圍不斷擴大的趨勢密切相關(guān)。

Akamai 應(yīng)用安全產(chǎn)品線高級副總裁兼總經(jīng)理 Rupesh Chokshi 表示： “ AI 正在改變網(wǎng)絡(luò)和 API 的安全格局，既提升了威脅檢測能力，也帶來了全新的挑戰(zhàn)。” 他補充道： “這份報告是必讀資料，有助于了解推動這一變革的因素以及防御者如何通過正確的緩解策略保持領(lǐng)先。”

Akamai 表示，通過 API 將 AI 工具與核心平臺集成正 “ 大幅 ” 擴展了攻擊面，因為絕大多數(shù)基于 AI 的 API 不僅對公眾開放，而且通常依賴的安全防護措施不足（例如缺乏認證機制）。這一問題如今還因越來越多的 AI 驅(qū)動攻擊而雪上加霜。

對最終用戶而言，這意味著雖然安全團隊能夠借助 AI 驅(qū)動的自動化技術(shù)強化網(wǎng)絡(luò)應(yīng)用程序和 API 的防護能力——例如協(xié)助發(fā)現(xiàn)威脅、預(yù)測可能的突破并縮短事件響應(yīng)時間——但同時 AI 也在幫助攻擊者提升攻擊效果，通過自動化網(wǎng)絡(luò)爬蟲以及引入更為動態(tài)的攻擊方法來加劇危害。

展望未來，Akamai 表示，盡管 AI 驅(qū)動的 API 管理無疑將持續(xù)演進，但 AI 驅(qū)動的攻擊可能仍然構(gòu)成重大威脅，這意味著各組織需要采用更為穩(wěn)固的深度防御安全策略。

網(wǎng)絡(luò)攻擊

談到網(wǎng)絡(luò)攻擊，Akamai 表示，其觀察到針對網(wǎng)絡(luò)應(yīng)用程序和 API 的應(yīng)用層（即第 7 層）分布式拒絕服務(wù) ( DDoS ) 攻擊顯著增加，月攻擊量從 2023 年初的超過 5000 億次上升到 2024 年末的超過 1 萬億次——這主要得益于惡意機器人和 HTTP 洪泛攻擊作為攻擊手段的持久存在。

在調(diào)查期間，科技行業(yè)是此類攻擊最頻繁的目標板塊，累計攻擊次數(shù)超過 7 萬億次。

按地域劃分，EMEA 地區(qū)遭受了 2.7 萬億次應(yīng)用層 DDoS 攻擊，其中英國遭受 3060 億次，而德國則為 3690 億次。

Akamai 表示，保護網(wǎng)絡(luò)應(yīng)用程序和 API 將持續(xù)成為各組織日益迫切的需求。報告提出了若干安全決策者應(yīng)考慮采取的關(guān)鍵措施：

o 制定涵蓋 shift-left 和 DevSecOps 技術(shù)的 API 安全規(guī)劃，將安全性從 API 的初期設(shè)計延伸至生產(chǎn)后階段，特別關(guān)注持續(xù)發(fā)現(xiàn)與可視化、認證、速率限制以及對惡意機器人的防護；

o 實施更為堅固的核心安全措施，如持續(xù)威脅監(jiān)控與響應(yīng)，并采用 API 測試工具，例如動態(tài)應(yīng)用安全測試 ( DAST )；

o 主動應(yīng)對威脅，例如使用專門的 DDoS 防護工具，同時重視補丁管理、訪問控制和網(wǎng)絡(luò)分段；

o 盡早采取措施以緩解 API 漏洞，遵循既定指南（例如 OWASP 的建議），以確保更為完善的安全，并解決因編碼不當(dāng)或配置錯誤帶來的風(fēng)險；

o 加強對勒索軟件威脅的防范，利用零信任架構(gòu)、微分段以及 Mitre ATT&CK 框架應(yīng)對；

o 最后，為 AI 做好準備，采取包括機器人防御、AI 驅(qū)動的網(wǎng)絡(luò)工具、專業(yè)防火墻及如持續(xù)評估和零信任在內(nèi)的更為主動的防護策略。