生成式AI的迅猛發(fā)展正在重塑安全格局，將網(wǎng)絡安全里的攻防對抗推向了一個前所未有的新高度。Akamai最新發(fā)布的《2025互聯(lián)網(wǎng)安全報告》其中的深刻變革：攻擊者正在利用AI實現(xiàn)更精準、更自動化的攻擊，而防御方也在借助AI構(gòu)建更智能的安全體系。

報告主要總結(jié)出四個核心要點：第一，AI用于自動化威脅檢測、預測潛在漏洞，并提高事件響應速度；第二，AI為威脅行為者推動技術(shù)進步；第三，Web攻擊與API攻擊策略，有別而又相互關(guān)聯(lián)；第四，Akamai的獨特視角揭示威脅模式。

Akamai發(fā)現(xiàn)在AI的加持下，Web攻擊和API攻擊在復雜性層面有非常明顯的加強。《報告》顯示：2024年全球Web攻擊達3110億次（年增33%），亞太區(qū)Web攻擊激增73%至510億次，API風險損失達870億美元（預計2026年超千億），主要歸因于企業(yè)AI服務、微服務改造及上云等新興技術(shù)擴展攻擊面。

Web攻擊主要針對用戶在網(wǎng)頁界面可見的部分，而API攻擊則針對軟件之間進行數(shù)據(jù)交換的通信接口進行攻擊。其實兩者存在一個共同的關(guān)鍵風險點，絕大多數(shù)都是源于未授權(quán)或授權(quán)不當導致敏感數(shù)據(jù)泄露和系統(tǒng)被滲透。

Akamai大中華區(qū)解決方案技術(shù)經(jīng)理 馬俊

"Web攻擊和API攻擊的誘因往往在于API自身的安全漏洞。"Akamai大中華區(qū)解決方案技術(shù)經(jīng)理馬俊指出，這類風險已超越單純的技術(shù)范疇，正在向數(shù)據(jù)安全和業(yè)務安全領(lǐng)域蔓延，主要表現(xiàn)為四大風險維度：越權(quán)、業(yè)務邏輯濫用、中間人攻擊、數(shù)據(jù)泄漏。

GartnerAkamai API解決方案則覆蓋了持續(xù)發(fā)現(xiàn)、態(tài)勢管理、運行保護、主動測試，幫助企業(yè)應對API挑戰(zhàn)。

同時《報告》還針對合規(guī)性做了重點分析，據(jù)統(tǒng)計OWASP API Top 10相關(guān)攻擊月增32%，MITRE框架標記攻擊月度量增長30%，不論是絕對數(shù)量還是月的增幅都是非常巨大的。違反OWASP和MITRE框架的API安全事件（如OWASP API3/ OWASP API5/ OWASP API2等身份認證漏洞）因過度暴露用戶隱私數(shù)據(jù)導致大規(guī)模數(shù)據(jù)泄露，顯著加劇企業(yè)合規(guī)風險。

馬俊舉了一個例子，當用戶試圖退訂郵件時，網(wǎng)站應用通過API和后臺進行交互時，API不僅攜帶了郵箱地址，還將用戶的完整個人信息（包括姓名、手機號碼、住址等敏感數(shù)據(jù)）暴露，帶來了嚴重的合規(guī)性安全風險。

API風險還在進化

目前全球Web攻擊兩年增長67%（2024年達290億次/月），API攻擊兩年超1500億次（年增24%），其中"API請求約束違規(guī)"攻擊導致系統(tǒng)性能下降和服務中斷，"主動攻擊會話"類型兩年激增63%（2024年1130億次），注入類攻擊如SQL注入年增60%；DDoS攻擊7層攻擊量年增94%至1.1萬億次，AI技術(shù)驅(qū)動自動化攻擊工具生成，僵尸/影子API占全年攻擊量的1/3，企業(yè)API測試頻率從37%（2023年）驟降至13%（2024年），加劇未授權(quán)漏洞（如濫發(fā)短信致?lián)p）和合規(guī)風險。

報告顯示，2024年企業(yè)沒有充分應對好的API風險分為四個方面：API濫用、API測試頻率下降、缺少事先測試、僵尸API和影子API。

API濫用：指未按設計規(guī)范使用API，導致安全隱患。例如某電商平臺API沒有充分校驗，被攻擊者利用200多個IP同時發(fā)起大量請求，通過制造虛假用戶，造成直接經(jīng)濟損失。

API測試頻率下降：2023年每日測試的企業(yè)占比37%，到2024年驟降至13%。這種測試缺失導致大量API未經(jīng)充分驗證就上線運行，埋下嚴重安全隱患。

缺少事先測試：企業(yè)在事先或者在發(fā)布之前進行有效測試非常少，沒有在適當?shù)腁PI開發(fā)周期內(nèi)對API進行充分的測試。

僵尸API和影子API：2024年47%的企業(yè)無法維護完整的API清單，導致半數(shù)企業(yè)根本不了解自身API全貌。這種"三無API"（無人管理、無人使用、無安全策略）正成為攻擊者主要目標，2024年所有API攻擊中，1/3都針對隱蔽API。

API造成的資產(chǎn)損失正越來越大，每次都可能達到60萬美金的水平。馬俊認為，任何單一的防護都很難100%解決所有問題，所以需要通過縱深安全策略組織防御工作，涵蓋風險管理、網(wǎng)絡安全以及后端安全。

Akamai希望在發(fā)現(xiàn)、態(tài)勢管理、動態(tài)防護、主動測試這樣的架構(gòu)中持續(xù)拓展自己的技術(shù)能力，來加強運行保護、測試態(tài)勢感知、治理。技術(shù)層面Akamai構(gòu)建了多個層次的解決方案，比如，互聯(lián)網(wǎng)邊緣利用Akamai的App和API防護能力，能夠第一時間實時的攔截不合適的請求；API Gateway能夠幫助客戶管理API的生命周期；后端API安全產(chǎn)品幫助客戶發(fā)現(xiàn)深層次的安全漏洞等。

AI驅(qū)動的攻擊有哪些特征？

智能化的攻擊方式正在重塑網(wǎng)絡安全威脅格局。《報告》指出，AI技術(shù)正被攻擊者用于四類攻擊模式：戰(zhàn)略性選擇目標（自動化分辨并生成惡意代碼精準滲透）、攻擊自動化（生成腳本/機器人利用API弱點）、流量型攻擊模式（超負荷癱瘓系統(tǒng)，尤其針對生成式AI模型的高計算需求）、基于行為攻擊（滲透訪問控制層，批量試探API越權(quán)及數(shù)據(jù)泄漏）。

第一，戰(zhàn)略性選擇目標，攻擊者利用AI快速自動識別和定位潛在目標，并通過生成惡意代碼實現(xiàn)精準滲透，AI顯著提升了攻擊者的目標篩選效率和攻擊精確度。

第二，攻擊自動化，AI技術(shù)大幅降低了攻擊準備和技術(shù)編碼門檻。攻擊者可以快速生成針對API弱點的自動化攻擊腳本和惡意機器人，使攻擊效率得到質(zhì)的提升。

第三，流量型攻擊模式，利用AI程序發(fā)起超負荷請求，使目標系統(tǒng)癱瘓或暴露漏洞，這種攻擊對處理能力要求高的生成式AI系統(tǒng)尤為有效。

第四，基于行為的攻擊模式，AI通過分析API特征，快速探測訪問控制缺陷，批量利用越權(quán)訪問和信息泄露等漏洞。AI不僅能快速識別API的安全弱點，還能海量復制攻擊模式，在訪問控制層面實現(xiàn)更隱蔽、更高效的滲透。

馬俊談到，AI投資可以分成三個角度，分別是AI提高攻防效率（AI for Security）、AI對抗AI（AI vs AI）以及當AI本身成為目標（Security for AI）。

Akamai正充分利用AI能力應對API及其他安全所帶來的新挑戰(zhàn)。首先在發(fā)現(xiàn)環(huán)節(jié)，利用AI技術(shù)從海量網(wǎng)絡流量中精準識別API，包括：檢測新增或變更的API端點、分析API間的層級調(diào)用關(guān)系、評估合規(guī)風險以及漏洞暴露面。

其次，高級檢測階段，AI引擎實現(xiàn)了三重突破：一是實時識別異常API調(diào)用模式，特別是針對AI生成的惡意報文；二是通過語義理解分析攻擊意圖，有效應對混淆注入等高級攻擊手段，顯著降低誤判漏判率；三是基于風險評估模型，對API漏洞進行智能分級（高危/低危），為安全團隊提供精準的態(tài)勢感知。

最后，采取行動階段，配合人工自然語言交互就能夠有效的讓“發(fā)現(xiàn)、治理、響應”及后續(xù)的“復盤”都能夠達到一個高效的狀態(tài)。

六個緩解思路

看到了趨勢，還需要給出解決辦法，Akamai提出了6個緩解思路與方法，包括建立全面計劃（開發(fā)左移踐行DevSecOps、納入合規(guī)要求）、實施穩(wěn)健措施（AI對抗AI攻擊、持續(xù)監(jiān)控與動態(tài)安全測試）、主動防御（部署DDoS防護工具、漏洞補丁管理及DNS/網(wǎng)絡出口評估）、緩解API漏洞（開發(fā)測試階段早期發(fā)現(xiàn)并運用成熟框架治理）、抵御勒索軟件（重點防控內(nèi)部滲透風險）、積極應對AI（全面應用AI防控技術(shù)并加強安全人員AI技能培訓）。

建立全面計劃：安全需求必須貫穿整個開發(fā)周期中，踐行"開發(fā)左移"、DevSecOps理念，同時要提升系統(tǒng)可見性和持續(xù)監(jiān)測能力，并將各項合規(guī)要求納入整體規(guī)劃。

實施穩(wěn)健的網(wǎng)絡安全措施：實現(xiàn)"以AI對抗AI"的智能防護，建立持續(xù)監(jiān)控機制應對復雜威脅。特別要重視動態(tài)安全測試對API風險的識別能力，彌補開發(fā)測試階段的漏洞盲區(qū)。

采取主動防御策略：采取積極主動的防護措施，包括部署專業(yè)的DDoS防護系統(tǒng)，建立完善的漏洞補丁管理機制，以及對DNS、網(wǎng)絡出口等關(guān)鍵基礎設施進行全面的安全評估和加固。

緩解API漏洞：要實施全生命周期的漏洞管理，在開發(fā)和測試階段就引入安全檢測，采用成熟的治理框架幫助安全運維團隊有效管控風險。。

抵御勒索軟件：很多安全漏洞都很難做到有效防控，所以需要重點特別警惕勒索軟件的威脅，防范其在內(nèi)部網(wǎng)絡的傳播擴散，避免造成連鎖式安全事件。

積極面對人工智能并做好準備：既要充分利用AI提升防御能力，也要加強安全團隊的AI技術(shù)培訓，確保在面對新型AI攻擊時能夠快速響應、有效處置。

從Web攻擊到API濫用，再到DDoS攻擊的激增，AI不僅提升了攻擊者的攻擊效率，也使防護工作變得更加艱難。未來，企業(yè)不僅需要加強技術(shù)創(chuàng)新，還要注重合規(guī)性和安全意識的提升，以確保在不斷變化的網(wǎng)絡環(huán)境中保持安全與穩(wěn)定。Akamai則希望為企業(yè)提供了一種新的防護方式，尤其善用AI，幫助企業(yè)在瞬息萬變的網(wǎng)絡威脅環(huán)境中實現(xiàn)持續(xù)的安全防護。