AI驱动下的API攻防变局：企业如何构建新一代智能防线？

【ZOL中关村在线原创专访】随着AI大模型应用的普及、云原生架构的加速落地以及微服务重塑企业数字骨架，API接口已成为连接系统与数据的核心枢纽。然而，这一技术底座，正在悄然演变为网络攻击的主战场。

从账号接管、数据泄露，到系统瘫痪、越权调用，API已不再只是程序员眼中的“传输通道”，而是攻击者眼中的“隐秘入口”。

面对这场悄然升级的技术战，全球边缘安全领导厂商Akamai在国家安全教育日之际发布《2025年Web应用与API安全态势分享》报告，系统呈现了新一轮AI主导下的API攻击趋势与应对策略。

马俊，Akamai大中华区解决方案技术经理

Akamai大中华区解决方案技术经理马俊指出，AI技术已广泛渗透攻击链路各阶段，从目标选择、攻击工具生成，到高并发流量压制和精细化绕过授权机制，均显著提升了攻击的自动化与复杂性。与此同时，AI也正成为关键基础设施之一，企业部署生成式AI服务的速度与频率，使得API这一连接接口迅速成为攻击者眼中的黄金通道。

Akamai最新发布的互联网安全报告显示：2024年，全球Web攻击量达3110亿次，年增33%；亚太地区Web攻击暴涨73%至510亿次。API攻击持续高速增长，两年累计超1500亿次，年增达24%。其中，被攻击频次最高的为“API请求约束违规”（指调用格式或参数异常导致系统出错）和“主动攻击会话”（攻击者在短时间内连续发起多次攻击），表现为绕过参数规则、大规模调用接口导致系统宕机，甚至入侵核心数据系统。

AI技术的快速演化不仅在重塑攻击者手段，也迫使企业重新定义系统架构与安全治理边界，而且，我们认为，API正逐渐成为企业数字神经系统中最关键也最薄弱的一环。

API为何成为AI时代的安全风暴眼

“Web攻击更多集中在页面层的可见区域，而API攻击往往发生在系统内部的通信接口间，具有更隐蔽、更系统性的特点。”马俊解释，“尤其在AI服务、微服务架构、上云趋势驱动下，API数量爆炸性增长，企业却往往难以维护一张完整的API清单，这就给攻击者留下了巨大的灰色空间。”

API攻击的演进也带来了合规风险的升级。报告特别提及OWASP和MITRE等全球主流安全框架所定义的十大类API安全风险（如OWASP API3：破损的对象授权，OWASP API5：功能级授权不当，OWASP API2：身份验证薄弱）在过去一年中持续高发。例如，某企业的退订邮件服务接口，在执行用户请求时暴露了包括邮箱、手机号等完整敏感信息，因缺少参数最小化和字段控制，直接触发数据隐私合规红线。

另一个典型案例发生在某金融机构，其理财产品查询接口在未做权限校验的前提下，允许已登录用户请求他人账户信息，造成严重的数据越权问题，不仅引发监管通报，还在客户群体中产生强烈信任危机。

不仅如此，API的滥用、测试频率下降、缺乏上线前测试、僵尸与影子API的大量存在，也共同构成企业在API防护上的死角矩阵。数据显示，2023年企业日常API测试比例为37%，而2024年骤降至13%；近一半企业无法准确识别自身存量API的真实数量，其中高达三分之一的攻击目标即集中在这类“不可见API”上。

“攻击的演变不再只是单点突破。”马俊指出，“我们看到越来越多业务逻辑层面的攻击，甚至出现API越权访问、数据横向渗透等难以用传统技术手段识别的风险。”他进一步指出，企业应从单点防御向态势化、结构化防御体系过渡，以更适应AI主导下的攻防博弈。

构建智能防线，AI对抗AI是未来主战场

针对当前趋势，Akamai提出了六项关键建议：

其一，将安全需求“左移”至开发环节，践行DevSecOps理念，实现合规与安全设计并行。

其二，利用AI反制AI，构建基于机器学习的动态风险识别与预警体系。例如，通过语义分析检测混淆指令攻击、利用视觉模型识别伪造网站等。

其三，主动部署防御策略，包括DDoS防护、DNS与API网关安全评估、漏洞补丁机制等。

其四，推动API漏洞缓解，从开发与测试阶段即引入成熟安全框架。

其五，加强勒索软件防范，尤其针对企业内部渗透路径构建隔离机制。

其六，全面提升安全人员的AI技能储备，使其具备与自动化攻击抗衡的能力。

马俊强调，AI攻防并非只是技术比拼，更是一场人才对抗。当前，企业在API安全管理中普遍面临“既懂安全又懂AI”的复合型人才紧缺。未来组织亟需构建专门的安全能力发展体系，提升技术团队对AI生成内容、模型调用行为等的识别与响应能力。

当前最严峻的挑战并不单纯是某项技术或漏洞，而是攻击已延伸至数据与业务层。比如水平越权，它看似是正常访问，实则用户A可窥探用户B的数据；又比如业务逻辑滥用，攻击者利用注册短信接口发送大量垃圾信息，这些风险无法单靠传统防火墙识别。

Akamai提出“四步走API防护模型”作为应对之策：持续发现、态势管理、运行防护与主动测试，辅以AI辅助的语义识别与行为分析，在生产环境中做到实时响应、智能防控。

从全球视角看，马俊也提到了合规环境的同步演进。2025年，美国将实施CIRCIA法案，欧洲全面推行NIS2和DORA指令，亚太则有日本新版网络安全法、印度数据保护法和新加坡拓展后的网络安全法案。“全球主要市场均已将API安全纳入监管重点，对于出海企业来说，合规不仅是风险管控，更是市场准入门槛。”

展望未来3-5年，AI将成为攻击者与安全从业者之间长期博弈的核心力量。从Akamai平台观察已发现多个使用生成式AI开展钓鱼邮件、混淆代码、批量越权等复杂攻击链的案例，企业若仍运用传统手段防御，将被迅速击穿。

写在最后

令人期待的是，Akamai将在本月发布具备大语言模型防护能力的“AI防火墙”，可针对生成式AI所暴露的新型风险，提供从接口识别到意图分析的完整保护机制。这一产品的推出，也标志着API安全已全面迈入“智能防线”阶段。

“真正安全的系统，不是没有漏洞，而是有能力第一时间发现并应对。”马俊的结语既是警示，也是愿景。在AI无所不在的今天，唯有建立可持续、可视、可智能响应的API防护体系，企业才能在AI主导的网络安全战场上立于不败之地。

(9769680)