
企业对于AI的应用热情愈发高涨,但每一次API 调用都暗藏安全风险。近期,Akamai委托第三方机构调研编制的《API安全影响研究》揭示了当前的一个重要企业安全隐患,即在AI创新加速与API规模激增的背景下,企业的安全治理很可能已明显落后,对于AI相关的API安全事件无法做好应对准备。
根据统计,API安全事件正在频繁出现,不少企业已付出高昂的代价。
API安全事件频出
报告显示,过去12个月里,81%的亚太地区受访企业遭遇过API安全事件;在各类API安全攻击中,43%的攻击针对AI应用、大语言模型相关API;亚太地区单起API安全事件造成的平均经济损失超过100万美元。
API与AI之间的安全关系在于,无论是大模型、AI智能体,还是搭载AI功能的应用,其与数据、系统、外部工具之间的交互,全部依托API实现。可以说,API是AI体系的管控中枢,API一旦出现漏洞,整套AI系统都将面临极高安全风险。

Akamai北亚区技术总监 刘烨
“过去API调用多源于人的行为,现在则是AI智能体在做决策和调用,这种转变引入了更多意想不到的风险点。”Akamai北亚区技术总监刘烨在近期举行的一场媒体会上表示。

在目前亚太地区五大API安全事件类型的统计中,排名第一的便是跟AI技术相关的API攻击事件,包括并不限于大语言模型、智能体这类当下热门的AI场景;第二是权限缺失引发的越权访问;第三是API 渠道造成的数据泄露;第四是未纳入管控的影子、僵尸API;第五是API的错误配置。
上述五大类型中,跟AI相关的API安全事件增速迅猛,根源在于企业大规模落地各类AI 应用。目前,81%的亚太地区组织在过去12个月中经历过API安全事件,且其中56%的受害者遭遇过4次或更多次的重复攻击。
Akamai亚太地区及日本安全技术与战略总监Reuben Koh表示:“亚太地区的企业正在迅速扩大AI的应用规模,但支撑这种增长的安全底座尚未达到应有的稳健水平。当支持AI应用的API激增并沦为安全盲区时,企业面临的绝不仅仅是技术风险的加剧,更可能意味着大规模的服务中断、高昂的恢复成本以及失去客户信任。API是AI得以发挥作用的关键,因此,企业在构建真正值得信赖的AI系统时必须将API安全视为核心支柱。”
尽管API 安全事故高发,报告却发现大量企业无法完整梳理 API 资产,同时企业高管与技术团队对 API 安全存在明显认知分歧。
API资产盘点缺位的背后
报告两组数据值得行业关注:
一方面在亚太区仅有22%的受访者拥有完整的API清单,其余近八成从业者无法厘清企业全部接口,也不清楚接口是否传输敏感数据。
另一方面,亚太地区高管与技术执行团队之间存在显著的认知差距,56%的高管认为已为API攻击做好充分准备,而一线技术人员中这一比例仅为44%。同时,尽管95%的受访者表示已将API纳入合规要求,但只有40%将其真正纳入监管报送材料,且只有19%将安全测试完全嵌入开发全生命周期。
工具依赖的错位在其中占据很大原因,许多企业过度依赖传统的WAF,只有少部分企业采用了专用API安全解决方案,导致防御能力难以应对复杂的API专项攻击。同时,高管更侧重整体安全战略与合规要求,但不了解API接口迭代、隐形漏洞等一线细节。而技术团队直面各类攻击风险,对隐患感知更敏锐。
刘烨表示,缩小两者间的认知偏差可从三方面入手:第一,统一风险评估标准,对齐双方对安全能力的判断;第二,重构安全流程,依托OWASP API风险标准、红蓝测试等方式,建立标准化防护体系;第三,绑定业务目标与安全目标,让管理层清晰认知安全风险对业务的影响。同时借助自动化安全工具,用客观数据呈现风险现状。
综上,企业的API安全正面临严峻挑战。API可视性作为安全的先决条件,却往往缺乏统一管理与监督,所对应的AI应用正在快速扩大攻击面,未受管理的API资产将引发反复安全事件。而管理层与技术团队对AI风险的认知偏差则进一步削弱了企业的整体防御能力。最终API安全问题将会对企业造成巨大的经济损失与合规风险。
Akamai API安全解决方案
传统WAF、网关、基础访问控制的防护能力已经存在局限性,这类工具无法识别业务逻辑漏洞、权限滥用、凭证失效等问题,即便在传统API场景中也无法实现全面防护,AI场景下短板更加明显。
刘烨表示:“当下企业最需要强化AI智能体权限管控、行为监测、使用规范三大能力。同时需要明确AI系统、内部接口的访问权限边界,制定智能体使用规则。”

Akamai API安全解决方案具有持续发现、态势管理、运行保护、主动测试的能力。可以自动发现、清点并标记影子API、僵尸API以及与AI相关的API,实现即时的治理与合规管理,并且通过审核发现攻击者锁定的各种API漏洞和错误配置,还能利用情境洞察信息来识别数据泄露、可疑行为、恶意爬虫程序和API攻击等风险。
该方案还针对目前AI工具、AI Agent与大模型之间的交互过程中的MCP(模型上下文协议)等新型标准协议提供支持,能够精准识别官方合规接入与违规使用的协议接口。同时,针对AI Agent的访问行为,该方案可实施深度审计与防御,有效拦截数据越权及违反企业安全策略的违规操作。
与此同时,Akamai还正在推进对LayerX的收购谈判,该企业主打安全浏览器,可管控用户使用大模型时的访问行为、提示词内容、数据上传行为,实现对AI安全治理的重要补充。
很多人在谈论AI的时候,都喜欢套用一句话:“买得越多,省得越多”。但对于企业的AI落地而言,如果不关注API安全问题,买得越多的背后,是调用更多的API,导致“买得越多,风险越高”,最终可能是“损失越大”。



