生成式AI的迅猛發展正在重塑安全格局，將網絡安全里的攻防對抗推向了一個前所未有的新高度。Akamai最新發布的《2025互聯網安全報告》其中的深刻變革：攻擊者正在利用AI實現更精準、更自動化的攻擊，而防御方也在借助AI構建更智能的安全體系。

報告主要總結出四個核心要點：第一，AI用于自動化威脅檢測、預測潛在漏洞，并提高事件響應速度；第二，AI為威脅行為者推動技術進步；第三，Web攻擊與API攻擊策略，有別而又相互關聯；第四，Akamai的獨特視角揭示威脅模式。

Akamai發現在AI的加持下，Web攻擊和API攻擊在復雜性層面有非常明顯的加強?！秷蟾妗凤@示：2024年全球Web攻擊達3110億次（年增33%），亞太區Web攻擊激增73%至510億次，API風險損失達870億美元（預計2026年超千億），主要歸因于企業AI服務、微服務改造及上云等新興技術擴展攻擊面。

Web攻擊主要針對用戶在網頁界面可見的部分，而API攻擊則針對軟件之間進行數據交換的通信接口進行攻擊。其實兩者存在一個共同的關鍵風險點，絕大多數都是源于未授權或授權不當導致敏感數據泄露和系統被滲透。

Akamai大中華區解決方案技術經理 馬俊

"Web攻擊和API攻擊的誘因往往在于API自身的安全漏洞。"Akamai大中華區解決方案技術經理馬俊指出，這類風險已超越單純的技術范疇，正在向數據安全和業務安全領域蔓延，主要表現為四大風險維度：越權、業務邏輯濫用、中間人攻擊、數據泄漏。

GartnerAkamai API解決方案則覆蓋了持續發現、態勢管理、運行保護、主動測試，幫助企業應對API挑戰。

同時《報告》還針對合規性做了重點分析，據統計OWASP API Top 10相關攻擊月增32%，MITRE框架標記攻擊月度量增長30%，不論是絕對數量還是月的增幅都是非常巨大的。違反OWASP和MITRE框架的API安全事件（如OWASP API3/ OWASP API5/ OWASP API2等身份認證漏洞）因過度暴露用戶隱私數據導致大規模數據泄露，顯著加劇企業合規風險。

馬俊舉了一個例子，當用戶試圖退訂郵件時，網站應用通過API和后臺進行交互時，API不僅攜帶了郵箱地址，還將用戶的完整個人信息（包括姓名、手機號碼、住址等敏感數據）暴露，帶來了嚴重的合規性安全風險。

API風險還在進化

目前全球Web攻擊兩年增長67%（2024年達290億次/月），API攻擊兩年超1500億次（年增24%），其中"API請求約束違規"攻擊導致系統性能下降和服務中斷，"主動攻擊會話"類型兩年激增63%（2024年1130億次），注入類攻擊如SQL注入年增60%；DDoS攻擊7層攻擊量年增94%至1.1萬億次，AI技術驅動自動化攻擊工具生成，僵尸/影子API占全年攻擊量的1/3，企業API測試頻率從37%（2023年）驟降至13%（2024年），加劇未授權漏洞（如濫發短信致損）和合規風險。

報告顯示，2024年企業沒有充分應對好的API風險分為四個方面：API濫用、API測試頻率下降、缺少事先測試、僵尸API和影子API。

API濫用：指未按設計規范使用API，導致安全隱患。例如某電商平臺API沒有充分校驗，被攻擊者利用200多個IP同時發起大量請求，通過制造虛假用戶，造成直接經濟損失。

API測試頻率下降：2023年每日測試的企業占比37%，到2024年驟降至13%。這種測試缺失導致大量API未經充分驗證就上線運行，埋下嚴重安全隱患。

缺少事先測試：企業在事先或者在發布之前進行有效測試非常少，沒有在適當的API開發周期內對API進行充分的測試。

僵尸API和影子API：2024年47%的企業無法維護完整的API清單，導致半數企業根本不了解自身API全貌。這種"三無API"（無人管理、無人使用、無安全策略）正成為攻擊者主要目標，2024年所有API攻擊中，1/3都針對隱蔽API。

API造成的資產損失正越來越大，每次都可能達到60萬美金的水平。馬俊認為，任何單一的防護都很難100%解決所有問題，所以需要通過縱深安全策略組織防御工作，涵蓋風險管理、網絡安全以及后端安全。

Akamai希望在發現、態勢管理、動態防護、主動測試這樣的架構中持續拓展自己的技術能力，來加強運行保護、測試態勢感知、治理。技術層面Akamai構建了多個層次的解決方案，比如，互聯網邊緣利用Akamai的App和API防護能力，能夠第一時間實時的攔截不合適的請求；API Gateway能夠幫助客戶管理API的生命周期；后端API安全產品幫助客戶發現深層次的安全漏洞等。

AI驅動的攻擊有哪些特征？

智能化的攻擊方式正在重塑網絡安全威脅格局?！秷蟾妗分赋?，AI技術正被攻擊者用于四類攻擊模式：戰略性選擇目標（自動化分辨并生成惡意代碼精準滲透）、攻擊自動化（生成腳本/機器人利用API弱點）、流量型攻擊模式（超負荷癱瘓系統，尤其針對生成式AI模型的高計算需求）、基于行為攻擊（滲透訪問控制層，批量試探API越權及數據泄漏）。

第一，戰略性選擇目標，攻擊者利用AI快速自動識別和定位潛在目標，并通過生成惡意代碼實現精準滲透，AI顯著提升了攻擊者的目標篩選效率和攻擊精確度。

第二，攻擊自動化，AI技術大幅降低了攻擊準備和技術編碼門檻。攻擊者可以快速生成針對API弱點的自動化攻擊腳本和惡意機器人，使攻擊效率得到質的提升。

第三，流量型攻擊模式，利用AI程序發起超負荷請求，使目標系統癱瘓或暴露漏洞，這種攻擊對處理能力要求高的生成式AI系統尤為有效。

第四，基于行為的攻擊模式，AI通過分析API特征，快速探測訪問控制缺陷，批量利用越權訪問和信息泄露等漏洞。AI不僅能快速識別API的安全弱點，還能海量復制攻擊模式，在訪問控制層面實現更隱蔽、更高效的滲透。

馬俊談到，AI投資可以分成三個角度，分別是AI提高攻防效率（AI for Security）、AI對抗AI（AI vs AI）以及當AI本身成為目標（Security for AI）。

Akamai正充分利用AI能力應對API及其他安全所帶來的新挑戰。首先在發現環節，利用AI技術從海量網絡流量中精準識別API，包括：檢測新增或變更的API端點、分析API間的層級調用關系、評估合規風險以及漏洞暴露面。

其次，高級檢測階段，AI引擎實現了三重突破：一是實時識別異常API調用模式，特別是針對AI生成的惡意報文；二是通過語義理解分析攻擊意圖，有效應對混淆注入等高級攻擊手段，顯著降低誤判漏判率；三是基于風險評估模型，對API漏洞進行智能分級（高危/低危），為安全團隊提供精準的態勢感知。

最后，采取行動階段，配合人工自然語言交互就能夠有效的讓“發現、治理、響應”及后續的“復盤”都能夠達到一個高效的狀態。

六個緩解思路

看到了趨勢，還需要給出解決辦法，Akamai提出了6個緩解思路與方法，包括建立全面計劃（開發左移踐行DevSecOps、納入合規要求）、實施穩健措施（AI對抗AI攻擊、持續監控與動態安全測試）、主動防御（部署DDoS防護工具、漏洞補丁管理及DNS/網絡出口評估）、緩解API漏洞（開發測試階段早期發現并運用成熟框架治理）、抵御勒索軟件（重點防控內部滲透風險）、積極應對AI（全面應用AI防控技術并加強安全人員AI技能培訓）。

建立全面計劃：安全需求必須貫穿整個開發周期中，踐行"開發左移"、DevSecOps理念，同時要提升系統可見性和持續監測能力，并將各項合規要求納入整體規劃。

實施穩健的網絡安全措施：實現"以AI對抗AI"的智能防護，建立持續監控機制應對復雜威脅。特別要重視動態安全測試對API風險的識別能力，彌補開發測試階段的漏洞盲區。

采取主動防御策略：采取積極主動的防護措施，包括部署專業的DDoS防護系統，建立完善的漏洞補丁管理機制，以及對DNS、網絡出口等關鍵基礎設施進行全面的安全評估和加固。

緩解API漏洞：要實施全生命周期的漏洞管理，在開發和測試階段就引入安全檢測，采用成熟的治理框架幫助安全運維團隊有效管控風險。。

抵御勒索軟件：很多安全漏洞都很難做到有效防控，所以需要重點特別警惕勒索軟件的威脅，防范其在內部網絡的傳播擴散，避免造成連鎖式安全事件。

積極面對人工智能并做好準備：既要充分利用AI提升防御能力，也要加強安全團隊的AI技術培訓，確保在面對新型AI攻擊時能夠快速響應、有效處置。

從Web攻擊到API濫用，再到DDoS攻擊的激增，AI不僅提升了攻擊者的攻擊效率，也使防護工作變得更加艱難。未來，企業不僅需要加強技術創新，還要注重合規性和安全意識的提升，以確保在不斷變化的網絡環境中保持安全與穩定。Akamai則希望為企業提供了一種新的防護方式，尤其善用AI，幫助企業在瞬息萬變的網絡威脅環境中實現持續的安全防護。