行业新闻与博客

根据 Akamai 的数据，API 现在已成为全球组织“主要”的攻击面，去年有 87% 的组织报告了相关的安全事件。

这家安全厂商的最新《互联网状况报告》（SOTI）已连续发布 12^年，该报告基于对其自身数据的分析而编制。

报告显示，2025年每个组织平均遭受 258 次 API 攻击，比 2024年的 121 次增长 113%。去年约有 61%的 API 攻击涉及未经授权的工作流程和异常活动，高于 2024年的 30%。 Akamai 表示，这表明攻击方式正从传统的基于 Web 的攻击转向基于行为的攻击。

在 OWASP 顶级 API 安全风险中，安全配置错误 (40%) 、对象属性级授权缺陷 (35%) 和身份验证缺陷 (19%) 是最常被利用的漏洞。

Akamai 还警告称，智能体人工智能的增长正在加剧敏感数据泄露的风险。去年，平均每个客户有 3000 个 API 包含敏感数据，其中 12% 存在安全漏洞，而这些漏洞中有四分之一（24%）与敏感数据泄露有关。

报告指出：“由于人工智能依赖 API 进行集成和数据交换，通过这些接口传输的敏感信息量呈指数级增长。在当今人工智能驱动的环境中，保障人工智能安全真正始于保障 API 安全。”

更广泛地说，人工智能正在帮助威胁行为者自动化和加速攻击，并创造攻击者可以利用的新漏洞（例如 vibe 编码）。

Akamai 安全战略首席技术官 Patrick Sullivan 表示：“攻击者越来越注重降低性能、推高基础设施成本以及大规模利用人工智能驱动的自动化，而不是寻求引人注目的攻击活动。”

“自动化和人工智能使得这些复杂的攻击活动变得成本低廉、可重复且快速。随着企业在人工智能转型方面投入巨资，攻击者正将目标对准支撑这种转型的 API 。”

混合攻击的出现

Akamai 还指出，融合了 API 滥用、 Web 应用程序攻击和七层 DDoS 攻击的协同攻击数量有所增长。 2023 年至 2025 年间，Web 应用程序攻击数量激增 73%，而七层 DDoS 攻击在过去三年中增长了 104%。

Akamai 声称，后者的出现得益于 DDoS 攻击服务 / 僵尸网络的易用性以及人工智能驱动的攻击脚本，这些脚本简化了对 API 和 Web 应用程序的攻击。

供应商对首席信息安全官 (CISO) 提出了以下建议：

• 充分了解环境状况是应对 DDoS 攻击、应用攻击和 API 攻击的前提条件。
• 部署一个可根据领导层风险承受能力进行调整的“集成式”安全控制平台。
• 通过培训和验证练习来投资于人员和流程。
• 与董事会或信息安全团队沟通时，请参考行业最佳实践——例如，使用 OWASP 来帮助确定培训优先级、部署安全控制、推动红蓝渗透测试以及分析漏洞。
• 利用详细的行业报告来验证当前的安全控制措施是否符合要求。
• 协调 DDoS 攻击缓解、 Web 应用防火墙（WAF）、 API 安全、机器人和滥用防范以及身份感知控制等方面的保护措施——不要将这些领域视为孤立的区域。