1、第 11 卷，第 2 期2025 年应用程序与 API 安全现状AI 如何改变数字格局互联网现状/安全性内容02 引言04 报告的关键见解06 不断改进我们的 API 威胁情报13 Web 攻击：同比比较和趋势 17 第 7 层 DDoS 攻击：同比比较和趋势21 行业趋势27 区域级趋势39 合规性44 抵御措施46 方法47 致谢名单2025 年应用程序与 API 安全现状 I 第 11 卷，第 2 期A|2引言2025 年初，Web 应用程序安全领域呈现出前所未有的复杂态势，攻击手段也愈发精密。企业遭遇的 Web 应用程序攻击急剧增长单单 2024 年，Akamai 便观察到超过 311

2、0 亿次的 Web 应用程序攻击和 API 攻击，同比增加 33%。而此类攻击的激增，与云服务、微服务架构以及人工智能(AI)驱动的应用程序的加速采用密切相关。地缘政治因素进一步加剧了这种状况，高科技、商业和社交媒体行业遭受的第 7 层（应用层）分布式拒绝服务(DDoS)攻击最为严重。值得注意的是，攻击者现在正在部署由 AI 生成的杀伤链，使其整个攻击生命周期实现自动化。与此同时，API 已成为主要攻击目标。Akamai 记录显示，2023 年 1 月到 2024 年 12 月期间，共发生超过 1500 亿次 API 攻击。AI 驱动的软件即服务(SaaS)工具通过 API 与核心平台的集成显

3、著扩大了攻击面。由此带来的财务影响非常严重。目前，API 安全问题每年会给企业造成大约 870 亿美元的损失，并且预测表明，如果不采取足够的干预措施，到 2026 年此数字可能会超过 1000 亿美元。在日益复杂的 API 生态系统中，影子 API 和僵尸 API 成为特别脆弱的攻击媒介。A|2FPO2025 年应用程序与 API 安全现状 I 第 11 卷，第 2 期A|3AI 对 Web 应用程序和 API 安全防护的作用AI 技术增强了威胁检测和响应能力，在改变 Web 应用程序和 API 安全形势的同时也带来了新的挑战。在 Web 应用程序中，AI 用于自动完成威胁检测、预测潜在的漏洞

4、以及缩短事件响应时间。然而，AI 也使得攻击者能够生成 AI 驱动的恶意软件和复杂的网络内容抓取手段，并利用动态攻击方法实现攻击生命周期的自动化。对于 API 来说，AI 在管理和保护大量的 API 交互方面发挥着至关重要的作用。AI 驱动的工具对于检测异常情况、识别滥用模式以及实时自动应对威胁必不可少。AI 驱动的 API 管理将通过整合预测性分析和自动安全措施来持续发展演变，以抵御日渐复杂的攻击。尽管取得了这些进步，但撞库攻击和业务逻辑利用等依托 AI 技术对 API 进行的攻击仍然是一个重大问题，需要强大的安全框架来有效应对这些威胁。存在分歧又相互关联：Web 应用程序和 API 攻击策

5、略虽然 Web 应用程序攻击和 API 攻击是相关的，但这两类攻击针对的是应用程序基础架构的不同方面：Web 应用程序攻击针对 Web 应用程序中面向用户的组件（例如面向公众的登录页面），并且往往采用不太复杂的技术。API 攻击则侧重于利用应用程序的 API 端点和后端逻辑中的漏洞，这需要更深入地了解 API 的结构和行为。两者的主要区别在于其攻击面和复杂性。Web 应用程序攻击通常以应用程序的可见部分为目标，而 API 攻击会利用不同软件组件之间的通信渠道。但是，一旦成功，它们都可以使攻击者在未经授权的情况下访问敏感数据和系统资源。同时了解针对 Web 应用程序攻击和 API 攻击的网络安全

6、措施至关重要，因为现代应用程序的功能越来越多依赖于 API。企业预计两年内 Web 应用程序的数量将增加 39%，因此 Web 和 API 安全的相互依赖关系将变得更加明显。忽视任何一方面都会导致企业容易受到利用应用程序前后端漏洞的复杂、多媒介攻击的威胁。Akamai 的独特视角：揭示威胁模式Akamai 的网络基础架构处理着全球超过三分之一的 Web 流量，所以 Akamai 能够深入分析当前复杂局面，并对威胁模式提供独特见解。这种视角与来自 Akamai 研究和数据科学团队的见解相结合，使 Akamai 能够提供既全面又具备可操作性的情报。其分析结果可以为安全负责人提供必要的战略性见解，帮