AI正深刻重塑网络攻防格局,成为推动攻击更复杂、防御更智能的“双刃剑”。4月23日,Akamai发布了《2025年Web应用与API安全态势分享》报告,强调AI既加剧了安全工作的挑战,也为企业带来了全新防御思路。
作为全球最大级别的边缘云服务和CDN提供商之一,Akamai处理全球三分之一以上的网络流量,它能看到全球海量真实网络行为,就像是互联网的前哨站。Akamai在这份报告中提到了很多他们平台上看到的真实数据。
2025年互联网整体安全趋势
报告中提到,OWASP API Top 10相关攻击月增32%。如果用MITRE标记分析,其月度增长也达到了30%。此外,2024年,Akamai平台观测到全球Web攻击量达3110亿次,同比增长33%,其中,亚太以及日本地区Web攻击同比暴增73%。
全球网络攻击呈现出明显的上升趋势,Web攻击量两年总量增长65%,API攻击年增速达到24%,两者的增长幅度都很大。其中,API请求约束的违规是最常见的API攻击,它会导致性能下降甚至服务中断。
此外,针对Web和API的“主动攻击会话”的增长非常快,2024年增长了63%。它在一段连续的时间里持续对目标发起Web和API攻击。针对这类攻击,Akamai建议用“惩罚箱”的模式进行快速的拦截,这也是目前广泛使用的一种有效应对方式。
针对Web和API的DDoS攻击总量在两年内增长了94%。从2023年初的5万亿次猛增到了2024年12月超过11万亿次。在DDoS攻击当中Akamai发现,AI技术被广泛地使用,并且推动了这些增长。
Akamai大中华区解决方案技术经理马俊表示,这种增长的很大一部分原因是由于企业使用新兴AI服务以及新业务所带来的攻击面增加。以备受关注的AI应用为例,许多AI应用都是通过API来实现功能的,这些API接口也成了攻击者的新目标。
报告还介绍了企业在API安全方面面临的突出风险。第一大类是API滥用,API被过度调用、绕过正常使用限制。第二大类是API测试频率显著下降,第三大类是缺乏事前测试,这都会埋下很多安全隐患。
第四大类问题是僵尸API与影子API,这类API很容易成为攻击者的目标。Akamai统计显示,2024年全球约1/3的API攻击都是针对这些“影子”或“僵尸”API发起的,而47%的企业对自家API总量都没有全面掌握,更谈不上有效管理。
从马俊的介绍中了解到,过去一年里,API相关的安全问题,在全球范围内造成的经济损失已经高达870亿美元,如果按照这样的发展趋势,预计2026年会超过1000亿美元。
重点行业和不同地区的安全趋势概况
在过去一年中,不同行业面临的网络攻击类型和攻击强度有明显不同。报告指出,电商零售、高科技、金融服务与社交媒体成为黑客的主要攻击目标,不同类型的攻击在行业间也呈现出不同特点。
电商、零售行业几乎承受了全球近一半的Web攻击量,同比增长超过31%,这是目前Web攻击最集中的行业。因为电商、零售行业的账户价值高、交易频繁,黑客通过盗用账号来刷信用卡、套现礼品卡等方式窃取真金白银。
高科技行业饱受DDoS攻击。2024年高科技行业遭受了超过817亿次Web/API攻击,DDoS攻击量更是超过7万亿次。攻击频次之高,远超其他行业。主要是因为该行业拥有大量核心资产,而且会大量使用物联网设备。
从地区分部来看,亚太地区成了全球网络攻击增长最快的区域之一。2024年,亚太地区的Web与API攻击总量达到了510亿次,相比去年的290亿次增长了73%。这些攻击最主要的是金融行业,其次才是电商和零售业。
在国家维度上,澳大利亚、印度和新加坡是亚太地区Web攻击最多的三个国家,其次是日本、中国、韩国和新西兰。在DDoS攻击方面,亚太地区过去一年的攻击量也增长了66%,新加坡成为DDoS攻击最密集的国家。
面对日益严峻的网络攻击态势,全球各地区纷纷加快网络安全立法步伐,特别是在数据隐私与关键基础设施保护方面,合规监管持续升级。
北美地区,美国将正式实施《关键基础设施网络事件报告法》(CIRCIA);亚太地区,多国对网络安全立法进行了更新;欧洲地区,欧盟的NIS2网络安全指令,《数字运营韧性法案》(DORA)的监管将逐步落地。
一项案例显示,某企业在处理邮件退订功能时,API接口在与后台交互中会暴露用户的完整隐私信息。这类操作虽然技术上看似正常,实际上却有重大隐患,极易触发数据安全事故,甚至引发跨国监管问责。
马俊建议广大出海企业关注OWASP与MITRE两大国际主流安全框架。根据Akamai平台观测,过去一年中,违反OWASP和MITRE规范的API安全事件显著增长,出海企业应主动对照国际主流框架来治理API漏洞,从源头上减少合规风险。
AI对安全已经造成了实质性影响
在分析DDoS攻击增长的原因时,马俊重点提到了AI技术。Akamai发现,许多攻击行为由AI生成的自动化工具或脚本发起,导致攻击数量迅速增长。同时,AI工具也被广泛用于攻击前的侦查、信息收集,甚至在进行社会工程攻击时也发挥了作用。
马俊表示,这种趋势值得高度警惕。随着AI技术不断普及,攻击者也开始“借力打力”,将AI用作攻击工具,形成了一套更高效、更智能的攻击流程。报告中总结了当前AI驱动的网络攻击所呈现的四种典型特征。
AI能战略性选择目标,不仅能自动侦察,还能生成代码。攻击者利用AI的自动识别和分析能力,快速筛选出有潜在漏洞的目标系统。AI还能自动生成恶意代码,精准匹配系统弱点,实现“量产式渗透”。
AI可以实现攻击自动化,攻击成本更低,效率更高。过去黑客要写代码、测试脚本,如今借助AI,他们能快速生成可执行的攻击脚本或机器人程序,尤其针对API接口的漏洞,进行规模化攻击,大幅降低技术门槛和时间成本。
AI发起流量型攻击,拖垮系统负载。AI还能驱动流量型攻击,即向目标系统发起超出其承载能力的海量请求,使系统资源耗尽甚至宕机。尤其对新上线的生成式AI服务,这种攻击方式影响更大,因为此类系统对计算资源要求高,抗压能力较弱。
AI进行基于行为的攻击。相比传统攻击只依赖“特征码”或签名,AI可以更聪明地模仿正常用户行为,深度探测访问控制层是否存在权限越界、数据泄露等问题。而且还能批量、多线程执行,造成更大影响。
马俊表示,AI如今早已不是“未来技术”,而是已经深入企业日常运营、开发、交付等多个环节的“现实工具”。因此,企业在制定安全策略时,不能只防AI带来的攻击风险,也要积极利用AI技术提升自身安全能力。
Akamai给到企业的六大安全建议
马俊表示,在当前网络威胁持续升级的大背景下,企业必须构建一套更加系统、主动的安全策略。在报告中,Akamai给了企业六大安全建议。
首先,应该建立全面的安全计划。安全要前置,贯穿整个开发生命周期。这就要求企业落实“开发左移”的理念,推动DevSecOps实践。同时,提升系统可见性和持续发现能力,将国际合规要求同步纳入安全规划之中。
实施稳健的网络安全措施。面对越来越复杂的网络安全环境,报告建议企业主动使用AI等新技术来提升防护能力。同时,报告特别强调“动态安全测试”的作用,通过动态方式检测并修复开发和测试阶段没有发现的安全问题。
采取主动防御策略。安全不能只靠被动响应。企业应主动部署DDoS防护、定期补丁更新,同时关注基础设施层面的风险点,如DNS配置和网络出口策略,确保整体防御体系稳固。
缓解API安全漏洞。从开发和测试阶段就着手识别潜在风险,借助成熟的工具与框架,帮助安全团队高效应对API安全挑战,减少系统暴露面。马俊提到,AI在管理和保护大量API交互方面发挥着关键作用。
提防勒索软件的内部扩散。虽然勒索软件未在报告中重点提及,但其风险不容忽视。尤其当病毒在企业内部传播后,许多常规的防护手段将失效。因此,提前设防、强化内部监控依然是关键。
企业应该主动拥抱AI,做好安全准备。报告中建议企业应主动应用AI技术强化防御能力,同时加强安全人员的AI技能培训,确保在面对智能化攻击时能够快速应对、精准处置。
结束语
Web与API攻击激增的一大原因就是AI。在AI全面渗透的时代,安全攻防的速度、复杂度和对抗性都在升级。企业唯有主动拥抱智能化防御体系,筑牢API防线,才能在全球合规与安全挑战中立于不败之地。
