行業新聞與部落格

根據 Akamai 的資料，API 現在已成為全球組織“主要”的攻擊面，去年有 87% 的組織報告了相關的安全事件。

這家安全廠商的最新《網際網路狀況報告》（SOTI）已連續釋出 12^年，該報告基於對其自身資料的分析而編制。

報告顯示，2025年每個組織平均遭受 258 次 API 攻擊，比 2024年的 121 次增長 113%。去年約有 61%的 API 攻擊涉及未經授權的工作流程和異常活動，高於 2024年的 30%。 Akamai 表示，這表明攻擊方式正從傳統的基於 Web 的攻擊轉向基於行為的攻擊。

在 OWASP 頂級 API 安全風險中，安全配置錯誤 (40%) 、物件屬性級授權缺陷 (35%) 和身份驗證缺陷 (19%) 是最常被利用的漏洞。

Akamai 還警告稱，智慧體人工智慧的增長正在加劇敏感資料洩露的風險。去年，平均每個客戶有 3000 個 API 包含敏感資料，其中 12% 存在安全漏洞，而這些漏洞中有四分之一（24%）與敏感資料洩露有關。

報告指出：“由於人工智慧依賴 API 進行整合和資料交換，透過這些介面傳輸的敏感資訊量呈指數級增長。在當今人工智慧驅動的環境中，保障人工智慧安全真正始於保障 API 安全。”

更廣泛地說，人工智慧正在幫助威脅行為者自動化和加速攻擊，並創造攻擊者可以利用的新漏洞（例如 vibe 編碼）。

Akamai 安全戰略首席技術官 Patrick Sullivan 表示：“攻擊者越來越注重降低效能、推高基礎設施成本以及大規模利用人工智慧驅動的自動化，而不是尋求引人注目的攻擊活動。”

“自動化和人工智慧使得這些複雜的攻擊活動變得成本低廉、可重複且快速。隨著企業在人工智慧轉型方面投入巨資，攻擊者正將目標對準支撐這種轉型的 API 。”

混合攻擊的出現

Akamai 還指出，融合了 API 濫用、 Web 應用程式攻擊和七層 DDoS 攻擊的協同攻擊數量有所增長。 2023 年至 2025 年間，Web 應用程式攻擊數量激增 73%，而七層 DDoS 攻擊在過去三年中增長了 104%。

Akamai 聲稱，後者的出現得益於 DDoS 攻擊服務 / 殭屍網路的易用性以及人工智慧驅動的攻擊指令碼，這些指令碼簡化了對 API 和 Web 應用程式的攻擊。

供應商對首席資訊安全官 (CISO) 提出了以下建議：

• 充分了解環境狀況是應對 DDoS 攻擊、應用攻擊和 API 攻擊的前提條件。
• 部署一個可根據領導層風險承受能力進行調整的“整合式”安全控制平臺。
• 透過培訓和驗證練習來投資於人員和流程。
• 與董事會或資訊安全團隊溝通時，請參考行業最佳實踐——例如，使用 OWASP 來幫助確定培訓優先順序、部署安全控制、推動紅藍滲透測試以及分析漏洞。
• 利用詳細的行業報告來驗證當前的安全控制措施是否符合要求。
• 協調 DDoS 攻擊緩解、 Web 應用防火牆（WAF）、 API 安全、機器人和濫用防範以及身份感知控制等方面的保護措施——不要將這些領域視為孤立的區域。