近期，一場由第三方集成漏洞引發(fā)的供應鏈攻擊引發(fā)行業(yè)熱議：多家科技與網(wǎng)絡安全企業(yè)相繼證實，因 Salesforce 第三方應用 Drift 的 OAuth 令牌被盜，導致其 Salesforce 環(huán)境遭遇數(shù)據(jù)泄露。攻擊者并未直接入侵 Salesforce 平臺，而是利用被盜的 OAuth 令牌 —— 這一 API 授權的核心憑證，通過合法 API 接口訪問客戶數(shù)據(jù)，包括業(yè)務聯(lián)系信息、內(nèi)部文檔等關鍵內(nèi)容。此類攻擊暴露出 API 安全的致命盲區(qū)：當?shù)谌郊傻牧钆乒芾硎Э兀珹PI 將從連接工具淪為數(shù)據(jù)泄露的 "隱形通道"。

劉炅 Akamai大中華區(qū)產(chǎn)品市場經(jīng)理  

在當今數(shù)字化時代，API已然成為推動企業(yè)數(shù)字化轉(zhuǎn)型與創(chuàng)新的關鍵力量。從移動端應用到邊緣計算場景，API 廣泛地支撐著各類服務的運行，促進了不同系統(tǒng)間的無縫協(xié)作。而在 AI 技術蓬勃發(fā)展的當下，API 的重要性更是與日俱增。Gartner 預測，到 2026 年，全球API 需求增長的 30% 以上將來自人工智能和使用大型語言模型的工具。API面臨的安全風險也在不斷攀升。根據(jù)調(diào)查，亞太地區(qū)85%的企業(yè)表示在過去12個月內(nèi)至少經(jīng)歷過一起與API相關的安全事件。財務影響也同樣令人擔憂，在接受調(diào)查的市場中，解決API安全事件的平均估計成本超過58萬美元。而在調(diào)查中，中國是唯一將“保護API免受攻擊”列為網(wǎng)絡安全第一要務的群體。

AI 驅(qū)動攻擊激增，API 安全保護勢在必行

根據(jù)Akamai的SOTI報告《2025年應用程序與 API 安全現(xiàn)狀：AI如何改變數(shù)字格局》，亞太地區(qū)及日本遭受的 Web 應用程序攻擊數(shù)量年同比增長了73%，使得該地區(qū)成為全球增幅最高的區(qū)域。這凸顯了在人工智能快速發(fā)展和應用的大環(huán)境下，保護 Web 應用程序和 API 安全勢在必行。

AI 技術增強了威脅檢測和響應能力，正在改變 Web 應用程序和 API 的安全格局，同時也帶來了新的安全挑戰(zhàn)。據(jù)記錄，2024 年，亞太地區(qū)及日本共遭受了 510 億次 Web 應用程序攻擊，相比 2023 年的 290 億次，數(shù)量明顯增加。攻擊激增與 AI 應用程序的快速普及密切相關，它擴大了攻擊面，增加了網(wǎng)絡攻擊的復雜性。

移動 + 邊緣場景擴容 API 攻擊面，“不可見性” 成核心安全盲區(qū)

隨著移動應用、第三方集成和邊緣端應用的興起，API攻擊面急劇擴大。移動端多樣化的設備環(huán)境、復雜的第三方集成，以及邊緣側高度分布式的部署模式，使得 API 的運行和管理面臨更強烈的實時性、動態(tài)性與異構性挑戰(zhàn)。尤其在智能業(yè)務場景中，API 頻繁交互用戶敏感數(shù)據(jù)（如身份信息、位置、行為偏好等），一旦缺乏有效管控，極易形成安全盲區(qū)。

由于移動與邊緣架構天然具有的分布式特性，API往往運行在傳統(tǒng)安全邊界之外，很多接口對安全團隊來說是幾乎不可見的，從而形成了被攻擊者利用的盲點。缺乏可見性以及影子API和僵尸API的迅速擴散大大增加了風險。Akamai 的調(diào)查顯示，擁有完整 API 清單并了解哪些 API 會交換敏感數(shù)據(jù)的參與者比例從 2023 年較低的 40% 進一步降至 2024 年的 27%。這意味著企業(yè)對自身 API 風險的可見性愈發(fā)不足，眾多潛在的安全隱患難以被及時發(fā)現(xiàn)與應對。

三維應對策略筑牢 API 安全防線

面對如此嚴峻的 API 安全挑戰(zhàn)，Akamai 建議企業(yè)采取以下策略來構建全面且有效的解決方案：

· 提升可視性：企業(yè)應首先確保對API的全面掌控和清晰認知。這包括對所有API的存在、端點及功能進行詳盡梳理和記錄。通過增強API的透明度，企業(yè)能夠及時發(fā)現(xiàn)并處理潛在的安全隱患。

· 強化漏洞管理：從設計和構建階段開始，企業(yè)應建立一套完整的漏洞管理體系。利用OWASP安全風險清單等工具為開發(fā)人員提供良好編碼實踐的指導；同時，與專業(yè)的安全廠商合作，共同推進跨部門、跨團隊的協(xié)作機制，以實現(xiàn)對潛在風險的及時識別和有效防御。

· 加強業(yè)務邏輯保護：鑒于攻擊手段的多樣化，企業(yè)需高度重視業(yè)務邏輯的安全性。通過建立業(yè)務邏輯基線、實施嚴格的訪問控制和審計機制等措施，企業(yè)能夠有效抵御針對業(yè)務邏輯的攻擊行為，確保關鍵業(yè)務數(shù)據(jù)的安全與完整。  

在 AI 時代，移動應用和邊緣應用的 API 安全至關重要。企業(yè)只有充分認識到當前 API 安全面臨的挑戰(zhàn)，并借助專業(yè)合作伙伴的解決方案，從提升可見性、全生命周期防護以及靈活部署等多方面入手，才能有效地保護 API 安全，為企業(yè)的數(shù)字化轉(zhuǎn)型與創(chuàng)新發(fā)展保駕護航。