2025年应用程序与API安全现状报告：AI如何改变数字格局

第 11 卷，第 2 期2025 年应用程序与 API 安全现状AI 如何改变数字格局互联网现状/安全性内容02 引言04 报告的关键见解06 不断改进我们的 API 威胁情报13 Web 攻击：同比比较和趋势 17 第 7 层 DDoS 攻击：同比比较和趋势21 行业趋势27 区域级趋势39 合规性44 抵御措施46 方法47 致谢名单2025 年应用程序与 API 安全现状 I 第 11 卷，第 2 期Akamai.com | 2引言2025 年初，Web 应用程序安全领域呈现出前所未有的复杂态势，攻击手段也愈发精密。企业遭遇的 Web 应用程序攻击急剧增长——单单 2024 年，Akamai 便观察到超过 3110 亿次的 Web 应用程序攻击和 API 攻击，同比增加 33%。而此类攻击的激增，与云服务、微服务架构以及人工智能 (AI) 驱动的应用程序的加速采用密切相关。地缘政治因素进一步加剧了这种状况，高科技、商业和社交媒体行业遭受的第 7 层（应用层）分布式拒绝服务 (DDoS) 攻击最为严重。值得注意的是，攻击者现在正在部署由 AI 生成的杀伤链，使其整个攻击生命周期实现自动化。与此同时，API 已成为主要攻击目标。Akamai 记录显示，2023 年 1 月到 2024 年 12 月期间，共发生超过 1500 亿次 API 攻击。AI 驱动的软件即服务 (SaaS) 工具通过 API 与核心平台的集成显著扩大了攻击面。由此带来的财务影响非常严重。目前，API 安全问题每年会给企业造成大约 870 亿美元的损失， 并且预测表明，如果不采取足够的干预措施，到 2026 年此数字可能会超过 1000 亿美元。在日益复杂的 API 生态系统中，影子 API 和僵尸 API 成为特别脆弱的攻击媒介。Akamai.com | 2FPO2025 年应用程序与 API 安全现状 I 第 11 卷，第 2 期Akamai.com | 3AI 对 Web 应用程序和 API 安全防护的作用AI 技术增强了威胁检测和响应能力，在改变 Web 应用程序和 API 安全形势的同时也带来了新的挑战。在 Web 应用程序中，AI 用于自动完成威胁检测、预测潜在的漏洞以及缩短事件响应时间。然而，AI 也使得攻击者能够生成 AI 驱动的恶意软件和复杂的网络内容抓取手段，并利用动态攻击方法实现攻击生命周期的自动化。对于 API 来说，AI 在管理和保护大量的 API 交互方面发挥着至关重要的作用。AI 驱动的工具对于检测异常情况、 识别滥用模式以及实时自动应对威胁必不可少。AI 驱动的 API 管理将通过整合预测性分析和自动安全措施来持续发展演变，以抵御日渐复杂的攻击。尽管取得了这些进步，但撞库攻击和业务逻辑利用等依托 AI 技术对 API 进行的攻击仍然是一个重大问题，需要强大的安全框架来有效应对这些威胁。存在分歧又相互关联：Web 应用程序和 API 攻击策略虽然 Web 应用程序攻击和 API 攻击是相关的，但这两类攻击针对的是应用程序基础架构的不同方面：Web 应用程序攻击针对 Web 应用程序中面向用户的组件（例如面向公众的登录页面），并且往往采用不太复杂的技术。API 攻击则侧重于利用应用程序的 API 端点和后端逻辑中的漏洞，这需要更深入地了解 API 的结构和行为。两者的主要区别在于其攻击面和复杂性。Web 应用程序攻击通常以应用程序的可见部分为目标，而 API 攻击会利用不同软件组件之间的通信渠道。但是，一旦成功，它们都可以使攻击者在未经授权的情况下访问敏感数据和系统 资源。同时了解针对 Web 应用程序攻击和 API 攻击的网络安全措施至关重要，因为现代应用程序的功能越来越多依赖于 API。企业预计两年内 Web 应用程序的数量将增加 39%，因此 Web 和 API 安全的相互依赖关系将变得更加明显。忽视任何一方面都会导致企业容易受到利用应用程序前后端漏洞的复杂、多媒介攻击的威胁。Akamai 的独特视角：揭示威胁模式Akamai 的网络基础架构处理着全球超过三分之一的 Web 流量，所以 Akamai 能够深入分析当前复杂局面，并对威胁模式提供独特见解。这种视角与来自 Akamai 研究和数据科学团队的见解相结合，使 Akamai 能够提供既全面又 具备可操作性的情报。其分析结果可以为安全负责人提供必要的战略性见解，帮助他们确定降低风险的重点领域，从而最大限度地提高安全投资回报率。2025 年应用程序与 API 安全现状 I 第 11 卷，第 2 期Akamai.com | 4报告的关键见解AI 驱动的 API 比传统 API 风险更高。大多数人工智能 (AI) 驱动的 API 皆可通过外部访问，并且许多 API 依赖不完善的身份验证机制，这一漏洞随着 AI 驱动的 API 攻击量不断增加而加剧。AI 为攻击者的技术进步推波助澜。随着 AI 的发展，恶意软件、漏洞扫描、针对 AI 集成系统的攻击和先进的网络内容抓取功能等方面也出现了长足进步。32%OWASP 十大 API 安全风险相关事件的增幅API 安全事件在不断增加，开放全球应用程序安全项目 (OWASP) 十大 API 安全问题揭示了会暴露敏感数据和功能的身份验证及授权漏洞。33%全球 Web 攻击量的同比增幅攻击量的激增与云服务、微服务以及 AI 应用程序的快速采用密切相关， 这些服务和应用程序会扩大攻击面 并带来新的安全挑战。30%与 MITRE 安全框架相关的 安全告警增幅攻击者正在使用自动化和 AI 等先进技术来利用 API。MITRE 框架可以 帮助防御者更快、更准确地识别这些攻击。2300 多亿次商业企业遭受的 Web 攻击量，这使得该行业成为受影响最大的行业，其遭受的攻击量几乎是高科技 行业（遭受攻击第二多的行业）的 三倍。2025 年应用程序与 API 安全现状 I 第 11 卷，第 2 期Akamai.com | 573%亚太地区及日本 (APJ) 遭受的 Web 攻击总数的同比增幅，从 2023 年的 290 亿次飙升至 2024 年的 510 亿次。37%欧洲、中东和非洲 (EMEA) 地区 以 API 为目标的 Web 攻击量占比，该地区是所有地区中遭受此类攻击 最为密集的地区。94%第 7 层分布式拒绝服务 (DDoS) 攻击的季度增幅（2023 年第一季度到 2024 年 第四季度）。 7.4 万亿次APJ 地区遭受的第 7 层 DDoS 攻击量，从 2023 年第一季度到 2024 年 第四季度的两年内。7 万亿次高科技行业遭受的第 7 层 DDoS 攻击量（2023 年 1 月到 2024 年 12 月），使其成为受攻击最严重的行业。11.9 万亿次北美地区遭受的第 7 层 DDoS 攻击的数量，从 2023 年第一季度到 2024 年 第四季度的两年内。20%EMEA 地区遭受的与 API 相关的 第 7 层 DDoS 攻击量占比，表示此地区在所有地区中遭受的 此类攻击最为密集。2025 年应用程序与 API 安全现状 I