1、CONTENTS目录2 种分类 043 个级别 045 大威胁场景05应用数据风险加剧 06API攻击持续增长06反勒索提升网络韧性06生成式 AI 威胁快速兴起06概述 02什么是 Bots？04核心观察06整体态势 08公开数据的安全不容忽视10API 攻击热度不减10勒索攻击与 Bots 紧密结合12高级 Bots 广泛使用13Bots 详情分析14API 接口越权防护21高级工具批量数据爬取防护22Web 勒索攻击防护 23小程序逆向破解防护24恶意生成式 AI 加剧攻防不对称26WAAP 升级走向应用统一防护 26AI 驱动的 API 提升防御效率27勒索和供应链攻击显著增长28数据

2、安全更需全生命周期管控 28构建安全韧性将成为企业重要战略29OWASPAPISecurityTOP102023解读 33安全事件汇总36深度分析08案例分享21防护建议31附录 33关于瑞数信息40发展趋势262023 年，企业数字化进程的步伐持续推进，数字化应用软件的创新和广泛使用，让应用数据的产生、交互、处理的途径和方式也越来越多，Web、H5、App 作为业务接入渠道已经普遍，而 API、微信公众号和小程序等更加高效和良好体验的应用形式迅速崛起，也让应用风险敞口和管控难度进一步加大。此外，全球产业链供应链冲击持续加大，网络空间安全面临的形势日益复杂多变，大规模针对性网络攻击行为增加，安

3、全漏洞、数据泄露、网络诈骗等风险突出。伴随以 ChatGPT 为代表的新一代人工智能技术的兴起，AGI 时代已经全面开启，科技产业版图正在加快重构，加速进入智能新时代。放眼全球，AI 大模型等新技术在掀起新一轮人工智能技术革命的同时，也引发了新型攻击、数据合规以及网络犯罪的日益专业化等安全风险。面对网络安全产业发展的新趋势，如何构建更具实战能力的安全能力，实现安全防御上的“化被动为主动”，已成为各行各业的刚需。2023 年，数字经济已步入数据驱动发展阶段，数据要素的重要地位显著提高。海量数据在采集、存储、传输、共享与防护中都面临着前所未有的数据安全挑战，勒索攻击、数据泄露事件频频发生，数据安全

4、问题已经成为各行各业用户的关注焦点，如何保障数据要素的安全也成为数字经济时代亟需解决的问题。概述3瑞数信息技术（上海）有限公司PART1什么是 Bots？瑞数信息Bots 自动化威胁报告2 种分类3 个级别5 大攻击威胁场景4瑞数信息技术（上海）有限公司什么是 Bots？2 种分类善意机器人：在受控的环境内使用，以提升工作效率、用户体验为目的的自动化工具，包括搜索引擎、运维监控、RPA 等等。此类 Bots 在运行过程严格遵守访问协议，不会进行越权、非法等类型的访问，不会给访问目标带来压力。恶意机器人：是指存在恶意访问行为的 Bots，行为包括漏洞扫描、撞库、信息爬取、薅羊毛、DDos 攻击等

5、等。恶意机器人在运行期间，会给目标系统带来较大的压力，影响系统的安全性和可用性。机器人攻击(Bots attack)，是通过工具或者脚本等程序，对应用系统进行的攻击或探测，它不仅仅是一种自动化的应用漏洞利用的攻击行为，更多是利用业务逻辑漏洞的威胁行为，甚至是模拟合法业务操作，躲避现有安全防护手段的自动化威胁行为。3 个级别从 Bots 拟人化的程度上划分，可以将 Bots 划分三个级别：初级：以脚本类程序为主，不具备页面渲染、JS 执行等能力，仅可根据预先设定的参数进行模拟访问。中级：具备页面渲染、JS 执行能力，可对动态生成的信息进行获取，但不具备交互能力。高级：APBS，具备完整的浏览器功

6、能，可模拟鼠标、键盘等操作与目标系统进行拟人化交互。5瑞数信息技术（上海）有限公司5 大威胁场景虽然 OWASP 对于自动化威胁的分类超过 20 种，但根据国内的情况进行汇总分析，主要场景有：恶意爬虫据统计自动化威胁流量中 80%以上是恶意爬虫产生的。恶意爬虫会造成多种危害，如对公开和非公开数据进行拖库式爬取，例如各类公示信息、公民个人信息、信用信息等之后对数据进行聚合收集，造成潜在大数据安全风险。同时由于数据的授权、来源、用途十分不透明，导致的隐私侵权、数据滥用等问题越来越严重。另外恶意爬虫还会影响正常的用户体验，当抓取数据量逐渐增大时，会对服务器造成性能压力，甚至有可能会崩溃。漏洞探测利用