環球網財經中心《環球問策》系列報道

【環球網科技報道 記者 林迪】近日，Akamai發佈《2025年Web應用與API安全態勢分享》（以下簡稱《報告》），Akamai大中華區解決方案技術經理馬俊向記者深入解讀了該《報告》。馬俊強調，AI技術正深刻影響着互聯網安全的格局。

他指出：“AI已經被廣泛地用在了互聯網的自動化攻擊、漏洞預測和使用，並且廣泛地利用在了代碼編程上。所以我們針對AI新技術的網絡攻擊威脅，最好的辦法也是利用AI的技術去進行治理。”

《報告》顯示，2024年全球Web攻擊次數達到3110億次，同比增長33%。特別是在亞太地區，Web攻擊激增73%至510億次。API攻擊同樣不容忽視，OWASP API Top 10相關攻擊月增長率達32%，API風險損失預計將在2026年超過1000億美元。

馬俊進一步解釋了Web攻擊與API攻擊的區別與聯繫：“Web是我們在網頁當中可見的那部分，而API攻擊則是針對軟件之間通信接口的攻擊。兩者既有相同之處，也有諸多差異。”

他特別指出，未授權或不恰當的授權是導致敏感數據泄漏和系統滲透的主要原因。

在API安全方面，《報告》揭示了四大風險：API濫用、測試頻率下降、缺少事先測試以及殭屍API和影子API。馬俊舉例說：“我們發現某個電子商務企業因API未進行充分校驗，導致同一時間從不同IP地址發起大量請求，造成虛假用戶註冊和短信發送，帶來了直接的經濟損失。”

隨着全球各地區對互聯網安全和數據隱私保護的要求日益嚴格，合規性成爲企業不可忽視的重要方面。《報告》指出，違反OWASP和MITRE框架的API安全事件顯著加劇了企業的合規風險。馬俊強調：“OWASP API3/API5/API2等身份認證漏洞因過度暴露用戶隱私數據，導致大規模數據泄露，給企業帶來了非常大的安全風險。”

不同行業在面臨API安全風險時，既有特異性也有共性。馬俊分析道：“電子商務行業在購物季、促銷季等時段攻擊水平顯著提升，而金融行業則可能因地緣政治事件引發針對性攻擊。但無論哪個行業，都面臨着複雜性Web攻擊和AI驅動的新攻擊模式。”

《報告》提到，AI技術被攻擊者用於戰略性選擇目標、攻擊自動化、流量型攻擊以及基於行爲的攻擊等模式。馬俊警告說：“AI通過自動化編寫釣魚郵件，誘導點擊後竊取設備信息並挖掘企業系統漏洞，形成複雜性增強的攻擊鏈。”

據介紹，在亞太地區，Web與API攻擊總量年增73%至510億次，金融業成爲Web攻擊的主要目標，年增長率超過52%。新加坡在DDoS攻擊方面尤爲嚴重，2024年遭受了4.7萬億次攻擊，位居全球前列。馬俊指出：“新加坡、印度、韓國和印尼是DDoS攻擊的主要受害國家，12月峯值達5040億次，創歷史新高。”

針對當前的安全挑戰，Akamai在《報告》中提出了六項安全策略，助力企業構建全面防護體系。

馬俊總結道：“我們需要建立全面的安全計劃，實施穩健的互聯網安全措施，採取主動防禦策略，緩解API漏洞，抵禦勒索軟件威脅，並積極應對AI帶來的新挑戰。”

具體來看，策略包括將安全需求融入開發環節、利用AI對抗AI攻擊、部署DDoS防護工具、加強API測試與態勢管理、重點防控內部滲透風險以及全面應用AI防控技術等。馬俊強調：“我們要利用AI技術提升安全運維效率，同時加強安全人員的AI技能培訓，以更好地應對未來安全挑戰。”

展望未來，馬俊認爲，AI技術將繼續深刻影響API安全防護模式。他透露：“Akamai即將發佈針對AI模型具有防護能力的AI防火牆，以應對當AI本身成爲攻擊目標的新趨勢。”他強調，企業需提前佈局AI安全防護能力，利用AI加速安全運維，對抗AI攻擊，並保護自身AI系統的安全。在構建API安全生態方面，馬俊倡導安全廠商、雲服務商與用戶之間形成共享責任的合作模式。