近期，一場由第三方集成漏洞引發(fā)的供應(yīng)鏈攻擊引發(fā)行業(yè)熱議：多家科技與網(wǎng)絡(luò)安全企業(yè)相繼證實，因 Salesforce 第三方應(yīng)用 Drift 的 OAuth 令牌被盜，導(dǎo)致其 Salesforce 環(huán)境遭遇數(shù)據(jù)泄露。攻擊者并未直接入侵 Salesforce 平臺，而是利用被盜的 OAuth 令牌 —— 這一 API 授權(quán)的核心憑證，通過合法 API 接口訪問客戶數(shù)據(jù)，包括業(yè)務(wù)聯(lián)系信息、內(nèi)部文檔等關(guān)鍵內(nèi)容。此類攻擊暴露出 API 安全的致命盲區(qū)：當(dāng)?shù)谌郊傻牧钆乒芾硎Э兀珹PI 將從連接工具淪為數(shù)據(jù)泄露的 "隱形通道"。

劉炅 Akamai大中華區(qū)產(chǎn)品市場經(jīng)理  

在當(dāng)今數(shù)字化時代，API已然成為推動企業(yè)數(shù)字化轉(zhuǎn)型與創(chuàng)新的關(guān)鍵力量。從移動端應(yīng)用到邊緣計算場景，API 廣泛地支撐著各類服務(wù)的運行，促進(jìn)了不同系統(tǒng)間的無縫協(xié)作。而在 AI 技術(shù)蓬勃發(fā)展的當(dāng)下，API 的重要性更是與日俱增。Gartner 預(yù)測，到 2026 年，全球API 需求增長的 30% 以上將來自人工智能和使用大型語言模型的工具。API面臨的安全風(fēng)險也在不斷攀升。根據(jù)調(diào)查，亞太地區(qū)85%的企業(yè)表示在過去12個月內(nèi)至少經(jīng)歷過一起與API相關(guān)的安全事件。財務(wù)影響也同樣令人擔(dān)憂，在接受調(diào)查的市場中，解決API安全事件的平均估計成本超過58萬美元。而在調(diào)查中，中國是唯一將“保護(hù)API免受攻擊”列為網(wǎng)絡(luò)安全第一要務(wù)的群體。

AI 驅(qū)動攻擊激增，API 安全保護(hù)勢在必行

根據(jù)Akamai的SOTI報告《2025年應(yīng)用程序與 API 安全現(xiàn)狀：AI如何改變數(shù)字格局》，亞太地區(qū)及日本遭受的 Web 應(yīng)用程序攻擊數(shù)量年同比增長了73%，使得該地區(qū)成為全球增幅最高的區(qū)域。這凸顯了在人工智能快速發(fā)展和應(yīng)用的大環(huán)境下，保護(hù) Web 應(yīng)用程序和 API 安全勢在必行。

AI 技術(shù)增強(qiáng)了威脅檢測和響應(yīng)能力，正在改變 Web 應(yīng)用程序和 API 的安全格局，同時也帶來了新的安全挑戰(zhàn)。據(jù)記錄，2024 年，亞太地區(qū)及日本共遭受了 510 億次 Web 應(yīng)用程序攻擊，相比 2023 年的 290 億次，數(shù)量明顯增加。攻擊激增與 AI 應(yīng)用程序的快速普及密切相關(guān)，它擴(kuò)大了攻擊面，增加了網(wǎng)絡(luò)攻擊的復(fù)雜性。

移動 + 邊緣場景擴(kuò)容 API 攻擊面，“不可見性” 成核心安全盲區(qū)

隨著移動應(yīng)用、第三方集成和邊緣端應(yīng)用的興起，API攻擊面急劇擴(kuò)大。移動端多樣化的設(shè)備環(huán)境、復(fù)雜的第三方集成，以及邊緣側(cè)高度分布式的部署模式，使得 API 的運行和管理面臨更強(qiáng)烈的實時性、動態(tài)性與異構(gòu)性挑戰(zhàn)。尤其在智能業(yè)務(wù)場景中，API 頻繁交互用戶敏感數(shù)據(jù)（如身份信息、位置、行為偏好等），一旦缺乏有效管控，極易形成安全盲區(qū)。

由于移動與邊緣架構(gòu)天然具有的分布式特性，API往往運行在傳統(tǒng)安全邊界之外，很多接口對安全團(tuán)隊來說是幾乎不可見的，從而形成了被攻擊者利用的盲點。缺乏可見性以及影子API和僵尸API的迅速擴(kuò)散大大增加了風(fēng)險。Akamai 的調(diào)查顯示，擁有完整 API 清單并了解哪些 API 會交換敏感數(shù)據(jù)的參與者比例從 2023 年較低的 40% 進(jìn)一步降至 2024 年的 27%。這意味著企業(yè)對自身 API 風(fēng)險的可見性愈發(fā)不足，眾多潛在的安全隱患難以被及時發(fā)現(xiàn)與應(yīng)對。

三維應(yīng)對策略筑牢 API 安全防線

面對如此嚴(yán)峻的 API 安全挑戰(zhàn)，Akamai 建議企業(yè)采取以下策略來構(gòu)建全面且有效的解決方案：

· 提升可視性：企業(yè)應(yīng)首先確保對API的全面掌控和清晰認(rèn)知。這包括對所有API的存在、端點及功能進(jìn)行詳盡梳理和記錄。通過增強(qiáng)API的透明度，企業(yè)能夠及時發(fā)現(xiàn)并處理潛在的安全隱患。

· 強(qiáng)化漏洞管理：從設(shè)計和構(gòu)建階段開始，企業(yè)應(yīng)建立一套完整的漏洞管理體系。利用OWASP安全風(fēng)險清單等工具為開發(fā)人員提供良好編碼實踐的指導(dǎo)；同時，與專業(yè)的安全廠商合作，共同推進(jìn)跨部門、跨團(tuán)隊的協(xié)作機(jī)制，以實現(xiàn)對潛在風(fēng)險的及時識別和有效防御。

· 加強(qiáng)業(yè)務(wù)邏輯保護(hù)：鑒于攻擊手段的多樣化，企業(yè)需高度重視業(yè)務(wù)邏輯的安全性。通過建立業(yè)務(wù)邏輯基線、實施嚴(yán)格的訪問控制和審計機(jī)制等措施，企業(yè)能夠有效抵御針對業(yè)務(wù)邏輯的攻擊行為，確保關(guān)鍵業(yè)務(wù)數(shù)據(jù)的安全與完整。  

在 AI 時代，移動應(yīng)用和邊緣應(yīng)用的 API 安全至關(guān)重要。企業(yè)只有充分認(rèn)識到當(dāng)前 API 安全面臨的挑戰(zhàn)，并借助專業(yè)合作伙伴的解決方案，從提升可見性、全生命周期防護(hù)以及靈活部署等多方面入手，才能有效地保護(hù) API 安全，為企業(yè)的數(shù)字化轉(zhuǎn)型與創(chuàng)新發(fā)展保駕護(hù)航。