攻击者的“武器库”已由简单的脚本工具升级为具备自我进化能力的AI代理,它们能像职业渗透测试员般思考,分析漏洞库中的历史数据,生成针对特定行业API的定制化攻击链,甚至利用强化学习在对抗中优化攻击策略。而防御者面临的不仅是技术迭代的挑战,更是一场与合规监管的赛跑、与商业利益博弈的复杂“战争”。
AI重塑攻防格局
Akamai发布的最新《2025年Web应用与API安全态势报告》(以下简称报告)揭示了一个关键矛盾:AI技术的爆发式应用既加速了数字经济发展,也为网络安全带来颠覆性挑战,攻击者已形成完整的AI化链条。
目标选择精准化:AI通过自动化扫描企业公开数据,快速识别高价值目标。
攻击工具智能化:生成式AI可批量编写混淆代码的钓鱼邮件,甚至模仿企业高管通信风格进行社会工程攻击。
攻击模式复杂化:利用AI驱动的“行为模拟引擎”,攻击者能绕过传统签名检测,例如通过机器学习动态调整SQL注入语句结构,使注入攻击检测难度增加三倍。
AI对攻击效率的提升呈现指数级跃迁。但AI对防御体系的革新更具革命性,面对AI驱动的“零日漏洞利用➝自动化渗透➝数据窃取”攻击链,企业需构建以AI对抗AI的动态防御体系。
• 持续发现:利用AI从海量用户网络流量中识别API,判断其是否为新API、是否有变化,以及其合规性和潜在漏洞。这种识别有助于制定治理和策略。
• 高级检测:通过AI快速发现异常攻击和不合规情况,减少误判和漏判。AI分析语义层面的攻击意图,有效识别高级混淆攻击,提升检测准确性。
• 态势感知与响应:使用AI和大数据分析评估API风险等级,识别高危漏洞。通过自然语言交互,提升“发现、治理、响应”及“复盘”的效率。
值得关注的是,Akamai还将推出的AI模型防火墙,旨在保护企业使用的大型语言模型(LLMs),标志着防御技术进入新时代。
API的新安全危机
2023至2024年全球API攻击量突破1500亿次,年增长24%的背后,暴露出企业数字化转型中的三大致命短板。
影子API失控:47%的企业无法完整统计API资产,导致攻击者通过未文档化的“僵尸API”和“影子API”窃取数据。
授权机制失效:OWASP API Top 10中,身份认证类漏洞是API漏洞中最具威胁的攻击向量之一(OWASP API2/ OWASP API3/ OWASP API5)
测试体系崩塌:每日进行API安全测试的企业从37%骤降至13%。
更为严峻的是,API风险正在向物理世界渗透。
某智能建筑管理平台的温度控制API漏洞,曾被攻击者用于制造数据中心过热警报,迫使运维人员手动关闭安全系统,这为后续的数据窃取打开了致命窗口。此类“数字➝物理”混合攻击的案例在2024年增长217%,预示着关键基础设施面临前所未有的威胁,API安全已从技术问题演变为系统性风险。
合规风暴下的新安全法则
在这场席卷全球的合规监管革命中,企业正在面临重新定义安全投入的性价比公式。
北美:美国CIRCIA法案要求关键基础设施企业对其信息系统(如API)进行清点、分类网络风险,违规企业或个人将面临处罚。
欧盟:DORA法案强制金融机构对第三方API服务商进行穿透式监管,并要求金融机构建立强大的ICT风险管理框架、事件报告机制和数字运营韧性测试计划。
亚太:新加坡《网络安全法》将API安全纳入关键信息基础设施(CII)保护范围。
在AI威胁与合规压力叠加的背景下,《报告》提出下一代安全架构构建的六项安全策略。
建立全面的安全计划: 把安全需求放到整个开发的环节当中,例如“开发左移”、践行DevSecOps,提高可见性、提高持续的发现能力,并且要把合规性要求纳入计划当中。
实施稳健的互联网安全措施:用AI来对抗AI,用持续性的监控能力去应对复杂的互联网安全态势;同时,注重动态安全测试的重要性。很多漏洞可能会在开发和测试阶段无法避免,只有在后期动态测试的角度才能够有效的解决,特别是API的风险。
采取主动防御策略:积极主动地采取安全措施防护手段应对风险,比如设立DDoS防护工具、关注漏洞补丁,积极地采取漏洞管理。同时,也要对基础设施,比如容易忽视的DNS、网络出口等等进行充分评估,然后选择合适的方案应对。
缓解API漏洞:尽早发现,在开发阶段、测试阶段,就发现潜在的安全漏洞。同时,用一些成熟的框架帮助安全人员和运维人员有效地治理这些安全风险。
抵御勒索软件威胁:要考虑到抵御勒索软件威胁,当勒索软件在企业内部被复制和启用之后,很多安全漏洞都难以有效防控,所以需要重点关注勒索软件的内部渗透。
积极面对人工智能并做好准备:要全面地利用AI技术做防控的策略,同时也要做好人员的培训,要让安全人员提前利用好、准备好这些AI技术,出现风险的时候能够利用对应的技术做有效的应对。
结语:在技术奇点与安全重构之间寻找确定性
当AI技术以月为单位迭代进化,当API成为数字经济的“神经网络”,当合规要求跨越国界,企业安全建设已进入“三维博弈”的新纪元。
Akamai《报告》揭示的不仅仅是冰冷的攻击数据,更在于指明要将AI的自我进化能力转化为防御体系的免疫系统,让API的开放性与安全性达成动态平衡,在合规框架内重建商业创新的安全基线。
马俊 Akamai大中华区解决方案技术经理
正如Akamai大中华区解决方案技术经理马俊所言:针对AI新技术的网络攻击威胁,最好的办法是利用AI技术进行治理,用AI来加速安全运维,充分利用AI能力去应对API及其他安全所带来的新挑战。
此刻,也许你的企业距离下一次AI驱动的网络攻击倒计时已经开始。问题是,你的防御体系,是否比攻击者的算法跑得更快?
