近期，一場(chǎng)由第三方集成漏洞引發(fā)的供應(yīng)鏈攻擊引發(fā)行業(yè)熱議：多家科技與網(wǎng)絡(luò)安全企業(yè)相繼證實(shí)，因 Salesforce 第三方應(yīng)用 Drift 的 OAuth 令牌被盜，導(dǎo)致其 Salesforce 環(huán)境遭遇數(shù)據(jù)泄露。攻擊者并未直接入侵 Salesforce 平臺(tái)，而是利用被盜的 OAuth 令牌 —— 這一 API 授權(quán)的核心憑證，通過(guò)合法 API 接口訪問(wèn)客戶數(shù)據(jù)，包括業(yè)務(wù)聯(lián)系信息、內(nèi)部文檔等關(guān)鍵內(nèi)容。此類攻擊暴露出 API 安全的致命盲區(qū)：當(dāng)?shù)谌郊傻牧钆乒芾硎Э?，API 將從連接工具淪為數(shù)據(jù)泄露的 "隱形通道"。

劉炅 Akamai大中華區(qū)產(chǎn)品市場(chǎng)經(jīng)理  

在當(dāng)今數(shù)字化時(shí)代，API已然成為推動(dòng)企業(yè)數(shù)字化轉(zhuǎn)型與創(chuàng)新的關(guān)鍵力量。從移動(dòng)端應(yīng)用到邊緣計(jì)算場(chǎng)景，API 廣泛地支撐著各類服務(wù)的運(yùn)行，促進(jìn)了不同系統(tǒng)間的無(wú)縫協(xié)作。而在 AI 技術(shù)蓬勃發(fā)展的當(dāng)下，API 的重要性更是與日俱增。Gartner 預(yù)測(cè)，到 2026 年，全球API 需求增長(zhǎng)的 30% 以上將來(lái)自人工智能和使用大型語(yǔ)言模型的工具。API面臨的安全風(fēng)險(xiǎn)也在不斷攀升。根據(jù)調(diào)查，亞太地區(qū)85%的企業(yè)表示在過(guò)去12個(gè)月內(nèi)至少經(jīng)歷過(guò)一起與API相關(guān)的安全事件。財(cái)務(wù)影響也同樣令人擔(dān)憂，在接受調(diào)查的市場(chǎng)中，解決API安全事件的平均估計(jì)成本超過(guò)58萬(wàn)美元。而在調(diào)查中，中國(guó)是唯一將“保護(hù)API免受攻擊”列為網(wǎng)絡(luò)安全第一要?jiǎng)?wù)的群體。

AI 驅(qū)動(dòng)攻擊激增，API 安全保護(hù)勢(shì)在必行

根據(jù)Akamai的SOTI報(bào)告《2025年應(yīng)用程序與 API 安全現(xiàn)狀：AI如何改變數(shù)字格局》，亞太地區(qū)及日本遭受的 Web 應(yīng)用程序攻擊數(shù)量年同比增長(zhǎng)了73%，使得該地區(qū)成為全球增幅最高的區(qū)域。這凸顯了在人工智能快速發(fā)展和應(yīng)用的大環(huán)境下，保護(hù) Web 應(yīng)用程序和 API 安全勢(shì)在必行。

AI 技術(shù)增強(qiáng)了威脅檢測(cè)和響應(yīng)能力，正在改變 Web 應(yīng)用程序和 API 的安全格局，同時(shí)也帶來(lái)了新的安全挑戰(zhàn)。據(jù)記錄，2024 年，亞太地區(qū)及日本共遭受了 510 億次 Web 應(yīng)用程序攻擊，相比 2023 年的 290 億次，數(shù)量明顯增加。攻擊激增與 AI 應(yīng)用程序的快速普及密切相關(guān)，它擴(kuò)大了攻擊面，增加了網(wǎng)絡(luò)攻擊的復(fù)雜性。

移動(dòng) + 邊緣場(chǎng)景擴(kuò)容 API 攻擊面，“不可見(jiàn)性” 成核心安全盲區(qū)

隨著移動(dòng)應(yīng)用、第三方集成和邊緣端應(yīng)用的興起，API攻擊面急劇擴(kuò)大。移動(dòng)端多樣化的設(shè)備環(huán)境、復(fù)雜的第三方集成，以及邊緣側(cè)高度分布式的部署模式，使得 API 的運(yùn)行和管理面臨更強(qiáng)烈的實(shí)時(shí)性、動(dòng)態(tài)性與異構(gòu)性挑戰(zhàn)。尤其在智能業(yè)務(wù)場(chǎng)景中，API 頻繁交互用戶敏感數(shù)據(jù)（如身份信息、位置、行為偏好等），一旦缺乏有效管控，極易形成安全盲區(qū)。

由于移動(dòng)與邊緣架構(gòu)天然具有的分布式特性，API往往運(yùn)行在傳統(tǒng)安全邊界之外，很多接口對(duì)安全團(tuán)隊(duì)來(lái)說(shuō)是幾乎不可見(jiàn)的，從而形成了被攻擊者利用的盲點(diǎn)。缺乏可見(jiàn)性以及影子API和僵尸API的迅速擴(kuò)散大大增加了風(fēng)險(xiǎn)。Akamai 的調(diào)查顯示，擁有完整 API 清單并了解哪些 API 會(huì)交換敏感數(shù)據(jù)的參與者比例從 2023 年較低的 40% 進(jìn)一步降至 2024 年的 27%。這意味著企業(yè)對(duì)自身 API 風(fēng)險(xiǎn)的可見(jiàn)性愈發(fā)不足，眾多潛在的安全隱患難以被及時(shí)發(fā)現(xiàn)與應(yīng)對(duì)。

三維應(yīng)對(duì)策略筑牢 API 安全防線

面對(duì)如此嚴(yán)峻的 API 安全挑戰(zhàn)，Akamai 建議企業(yè)采取以下策略來(lái)構(gòu)建全面且有效的解決方案：

· 提升可視性：企業(yè)應(yīng)首先確保對(duì)API的全面掌控和清晰認(rèn)知。這包括對(duì)所有API的存在、端點(diǎn)及功能進(jìn)行詳盡梳理和記錄。通過(guò)增強(qiáng)API的透明度，企業(yè)能夠及時(shí)發(fā)現(xiàn)并處理潛在的安全隱患。

· 強(qiáng)化漏洞管理：從設(shè)計(jì)和構(gòu)建階段開(kāi)始，企業(yè)應(yīng)建立一套完整的漏洞管理體系。利用OWASP安全風(fēng)險(xiǎn)清單等工具為開(kāi)發(fā)人員提供良好編碼實(shí)踐的指導(dǎo)；同時(shí)，與專業(yè)的安全廠商合作，共同推進(jìn)跨部門(mén)、跨團(tuán)隊(duì)的協(xié)作機(jī)制，以實(shí)現(xiàn)對(duì)潛在風(fēng)險(xiǎn)的及時(shí)識(shí)別和有效防御。

· 加強(qiáng)業(yè)務(wù)邏輯保護(hù)：鑒于攻擊手段的多樣化，企業(yè)需高度重視業(yè)務(wù)邏輯的安全性。通過(guò)建立業(yè)務(wù)邏輯基線、實(shí)施嚴(yán)格的訪問(wèn)控制和審計(jì)機(jī)制等措施，企業(yè)能夠有效抵御針對(duì)業(yè)務(wù)邏輯的攻擊行為，確保關(guān)鍵業(yè)務(wù)數(shù)據(jù)的安全與完整。  

在 AI 時(shí)代，移動(dòng)應(yīng)用和邊緣應(yīng)用的 API 安全至關(guān)重要。企業(yè)只有充分認(rèn)識(shí)到當(dāng)前 API 安全面臨的挑戰(zhàn)，并借助專業(yè)合作伙伴的解決方案，從提升可見(jiàn)性、全生命周期防護(hù)以及靈活部署等多方面入手，才能有效地保護(hù) API 安全，為企業(yè)的數(shù)字化轉(zhuǎn)型與創(chuàng)新發(fā)展保駕護(hù)航。