环球网财经中心《环球问策》系列报道

【环球网科技报道 记者 林迪】近日，Akamai发布《2025年Web应用与API安全态势分享》（以下简称《报告》），Akamai大中华区解决方案技术经理马俊向记者深入解读了该《报告》。马俊强调，AI技术正深刻影响着互联网安全的格局。

Akamai大中华区解决方案技术经理马俊

他指出：“AI已经被广泛地用在了互联网的自动化攻击、漏洞预测和使用，并且广泛地利用在了代码编程上。所以我们针对AI新技术的网络攻击威胁，最好的办法也是利用AI的技术去进行治理。”

《报告》显示，2024年全球Web攻击次数达到3110亿次，同比增长33%。特别是在亚太地区，Web攻击激增73%至510亿次。API攻击同样不容忽视，OWASP API Top 10相关攻击月增长率达32%，API风险损失预计将在2026年超过1000亿美元。

马俊进一步解释了Web攻击与API攻击的区别与联系：“Web是我们在网页当中可见的那部分，而API攻击则是针对软件之间通信接口的攻击。两者既有相同之处，也有诸多差异。”

他特别指出，未授权或不恰当的授权是导致敏感数据泄漏和系统渗透的主要原因。

在API安全方面，《报告》揭示了四大风险：API滥用、测试频率下降、缺少事先测试以及僵尸API和影子API。马俊举例说：“我们发现某个电子商务企业因API未进行充分校验，导致同一时间从不同IP地址发起大量请求，造成虚假用户注册和短信发送，带来了直接的经济损失。”

随着全球各地区对互联网安全和数据隐私保护的要求日益严格，合规性成为企业不可忽视的重要方面。《报告》指出，违反OWASP和MITRE框架的API安全事件显著加剧了企业的合规风险。马俊强调：“OWASP API3/API5/API2等身份认证漏洞因过度暴露用户隐私数据，导致大规模数据泄露，给企业带来了非常大的安全风险。”

不同行业在面临API安全风险时，既有特异性也有共性。马俊分析道：“电子商务行业在购物季、促销季等时段攻击水平显著提升，而金融行业则可能因地缘政治事件引发针对性攻击。但无论哪个行业，都面临着复杂性Web攻击和AI驱动的新攻击模式。”

《报告》提到，AI技术被攻击者用于战略性选择目标、攻击自动化、流量型攻击以及基于行为的攻击等模式。马俊警告说：“AI通过自动化编写钓鱼邮件，诱导点击后窃取设备信息并挖掘企业系统漏洞，形成复杂性增强的攻击链。”

据介绍，在亚太地区，Web与API攻击总量年增73%至510亿次，金融业成为Web攻击的主要目标，年增长率超过52%。新加坡在DDoS攻击方面尤为严重，2024年遭受了4.7万亿次攻击，位居全球前列。马俊指出：“新加坡、印度、韩国和印尼是DDoS攻击的主要受害国家，12月峰值达5040亿次，创历史新高。”

针对当前的安全挑战，Akamai在《报告》中提出了六项安全策略，助力企业构建全面防护体系。

马俊总结道：“我们需要建立全面的安全计划，实施稳健的互联网安全措施，采取主动防御策略，缓解API漏洞，抵御勒索软件威胁，并积极应对AI带来的新挑战。”

具体来看，策略包括将安全需求融入开发环节、利用AI对抗AI攻击、部署DDoS防护工具、加强API测试与态势管理、重点防控内部渗透风险以及全面应用AI防控技术等。马俊强调：“我们要利用AI技术提升安全运维效率，同时加强安全人员的AI技能培训，以更好地应对未来安全挑战。”

展望未来，马俊认为，AI技术将继续深刻影响API安全防护模式。他透露：“Akamai即将发布针对AI模型具有防护能力的AI防火墙，以应对当AI本身成为攻击目标的新趋势。”他强调，企业需提前布局AI安全防护能力，利用AI加速安全运维，对抗AI攻击，并保护自身AI系统的安全。在构建API安全生态方面，马俊倡导安全厂商、云服务商与用户之间形成共享责任的合作模式。