攻擊者的“武器庫”已由簡單的腳本工具升級為具備自我進化能力的AI代理,它們能像職業滲透測試員般思考,分析漏洞庫中的歷史數據,生成針對特定行業API的定制化攻擊鏈,甚至利用強化學習在對抗中優化攻擊策略。而防御者面臨的不僅是技術迭代的挑戰,更是一場與合規監管的賽跑、與商業利益博弈的復雜“戰爭”。
AI重塑攻防格局
Akamai發布的最新《2025年Web應用與API安全態勢報告》(以下簡稱報告)揭示了一個關鍵矛盾:AI技術的爆發式應用既加速了數字經濟發展,也為網絡安全帶來顛覆性挑戰,攻擊者已形成完整的AI化鏈條。
目標選擇精準化:AI通過自動化掃描企業公開數據,快速識別高價值目標。
攻擊工具智能化:生成式AI可批量編寫混淆代碼的釣魚郵件,甚至模仿企業高管通信風格進行社會工程攻擊。
攻擊模式復雜化:利用AI驅動的“行為模擬引擎”,攻擊者能繞過傳統簽名檢測,例如通過機器學習動態調整SQL注入語句結構,使注入攻擊檢測難度增加三倍。
AI對攻擊效率的提升呈現指數級躍遷。但AI對防御體系的革新更具革命性,面對AI驅動的“零日漏洞利用?自動化滲透?數據竊取”攻擊鏈,企業需構建以AI對抗AI的動態防御體系。
• 持續發現:利用AI從海量用戶網絡流量中識別API,判斷其是否為新API、是否有變化,以及其合規性和潛在漏洞。這種識別有助于制定治理和策略。
• 高級檢測:通過AI快速發現異常攻擊和不合規情況,減少誤判和漏判。AI分析語義層面的攻擊意圖,有效識別高級混淆攻擊,提升檢測準確性。
• 態勢感知與響應:使用AI和大數據分析評估API風險等級,識別高危漏洞。通過自然語言交互,提升“發現、治理、響應”及“復盤”的效率。
值得關注的是,Akamai還將推出的AI模型防火墻,旨在保護企業使用的大型語言模型(LLMs),標志著防御技術進入新時代。
API的新安全危機
2023至2024年全球API攻擊量突破1500億次,年增長24%的背后,暴露出企業數字化轉型中的三大致命短板。
影子API失控:47%的企業無法完整統計API資產,導致攻擊者通過未文檔化的“僵尸API”和“影子API”竊取數據。
授權機制失效:OWASP API Top 10中,身份認證類漏洞是API漏洞中最具威脅的攻擊向量之一(OWASP API2/ OWASP API3/ OWASP API5)
測試體系崩塌:每日進行API安全測試的企業從37%驟降至13%。
更為嚴峻的是,API風險正在向物理世界滲透。
某智能建筑管理平臺的溫度控制API漏洞,曾被攻擊者用于制造數據中心過熱警報,迫使運維人員手動關閉安全系統,這為后續的數據竊取打開了致命窗口。此類“數字?物理”混合攻擊的案例在2024年增長217%,預示著關鍵基礎設施面臨前所未有的威脅,API安全已從技術問題演變為系統性風險。
合規風暴下的新安全法則
在這場席卷全球的合規監管革命中,企業正在面臨重新定義安全投入的性價比公式。
北美:美國CIRCIA法案要求關鍵基礎設施企業對其信息系統(如API)進行清點、分類網絡風險,違規企業或個人將面臨處罰。
歐盟:DORA法案強制金融機構對第三方API服務商進行穿透式監管,并要求金融機構建立強大的ICT風險管理框架、事件報告機制和數字運營韌性測試計劃。
亞太:新加坡《網絡安全法》將API安全納入關鍵信息基礎設施(CII)保護范圍。
在AI威脅與合規壓力疊加的背景下,《報告》提出下一代安全架構構建的六項安全策略。
建立全面的安全計劃: 把安全需求放到整個開發的環節當中,例如“開發左移”、踐行DevSecOps,提高可見性、提高持續的發現能力,并且要把合規性要求納入計劃當中。
實施穩健的互聯網安全措施:用AI來對抗AI,用持續性的監控能力去應對復雜的互聯網安全態勢;同時,注重動態安全測試的重要性。很多漏洞可能會在開發和測試階段無法避免,只有在后期動態測試的角度才能夠有效的解決,特別是API的風險。
采取主動防御策略:積極主動地采取安全措施防護手段應對風險,比如設立DDoS防護工具、關注漏洞補丁,積極地采取漏洞管理。同時,也要對基礎設施,比如容易忽視的DNS、網絡出口等等進行充分評估,然后選擇合適的方案應對。
緩解API漏洞:盡早發現,在開發階段、測試階段,就發現潛在的安全漏洞。同時,用一些成熟的框架幫助安全人員和運維人員有效地治理這些安全風險。
抵御勒索軟件威脅:要考慮到抵御勒索軟件威脅,當勒索軟件在企業內部被復制和啟用之后,很多安全漏洞都難以有效防控,所以需要重點關注勒索軟件的內部滲透。
積極面對人工智能并做好準備:要全面地利用AI技術做防控的策略,同時也要做好人員的培訓,要讓安全人員提前利用好、準備好這些AI技術,出現風險的時候能夠利用對應的技術做有效的應對。
結語:在技術奇點與安全重構之間尋找確定性
當AI技術以月為單位迭代進化,當API成為數字經濟的“神經網絡”,當合規要求跨越國界,企業安全建設已進入“三維博弈”的新紀元。
Akamai《報告》揭示的不僅僅是冰冷的攻擊數據,更在于指明要將AI的自我進化能力轉化為防御體系的免疫系統,讓API的開放性與安全性達成動態平衡,在合規框架內重建商業創新的安全基線。
馬俊 Akamai大中華區解決方案技術經理
正如Akamai大中華區解決方案技術經理馬俊所言:針對AI新技術的網絡攻擊威脅,最好的辦法是利用AI技術進行治理,用AI來加速安全運維,充分利用AI能力去應對API及其他安全所帶來的新挑戰。
此刻,也許你的企業距離下一次AI驅動的網絡攻擊倒計時已經開始。問題是,你的防御體系,是否比攻擊者的算法跑得更快?
