近期，一場由第三方集成漏洞引發的供應鏈攻擊引發行業熱議：多家科技與網絡安全企業相繼證實，因 Salesforce 第三方應用 Drift 的 OAuth 令牌被盜，導致其 Salesforce 環境遭遇數據泄露。攻擊者并未直接入侵 Salesforce 平臺，而是利用被盜的 OAuth 令牌 —— 這一 API 授權的核心憑證，通過合法 API 接口訪問客戶數據，包括業務聯系信息、內部文檔等關鍵內容。此類攻擊暴露出 API 安全的致命盲區：當第三方集成的令牌管理失控，API 將從連接工具淪為數據泄露的 "隱形通道"。

劉炅 Akamai大中華區產品市場經理  

在當今數字化時代，API已然成為推動企業數字化轉型與創新的關鍵力量。從移動端應用到邊緣計算場景，API 廣泛地支撐著各類服務的運行，促進了不同系統間的無縫協作。而在 AI 技術蓬勃發展的當下，API 的重要性更是與日俱增。Gartner 預測，到 2026 年，全球API 需求增長的 30% 以上將來自人工智能和使用大型語言模型的工具。API面臨的安全風險也在不斷攀升。根據調查，亞太地區85%的企業表示在過去12個月內至少經歷過一起與API相關的安全事件。財務影響也同樣令人擔憂，在接受調查的市場中，解決API安全事件的平均估計成本超過58萬美元。而在調查中，中國是唯一將“保護API免受攻擊”列為網絡安全第一要務的群體。

AI 驅動攻擊激增，API 安全保護勢在必行

根據Akamai的SOTI報告《2025年應用程序與 API 安全現狀：AI如何改變數字格局》，亞太地區及日本遭受的 Web 應用程序攻擊數量年同比增長了73%，使得該地區成為全球增幅最高的區域。這凸顯了在人工智能快速發展和應用的大環境下，保護 Web 應用程序和 API 安全勢在必行。

AI 技術增強了威脅檢測和響應能力，正在改變 Web 應用程序和 API 的安全格局，同時也帶來了新的安全挑戰。據記錄，2024 年，亞太地區及日本共遭受了 510 億次 Web 應用程序攻擊，相比 2023 年的 290 億次，數量明顯增加。攻擊激增與 AI 應用程序的快速普及密切相關，它擴大了攻擊面，增加了網絡攻擊的復雜性。

移動 + 邊緣場景擴容 API 攻擊面，“不可見性” 成核心安全盲區

隨著移動應用、第三方集成和邊緣端應用的興起，API攻擊面急劇擴大。移動端多樣化的設備環境、復雜的第三方集成，以及邊緣側高度分布式的部署模式，使得 API 的運行和管理面臨更強烈的實時性、動態性與異構性挑戰。尤其在智能業務場景中，API 頻繁交互用戶敏感數據（如身份信息、位置、行為偏好等），一旦缺乏有效管控，極易形成安全盲區。

由于移動與邊緣架構天然具有的分布式特性，API往往運行在傳統安全邊界之外，很多接口對安全團隊來說是幾乎不可見的，從而形成了被攻擊者利用的盲點。缺乏可見性以及影子API和僵尸API的迅速擴散大大增加了風險。Akamai 的調查顯示，擁有完整 API 清單并了解哪些 API 會交換敏感數據的參與者比例從 2023 年較低的 40% 進一步降至 2024 年的 27%。這意味著企業對自身 API 風險的可見性愈發不足，眾多潛在的安全隱患難以被及時發現與應對。

三維應對策略筑牢 API 安全防線

面對如此嚴峻的 API 安全挑戰，Akamai 建議企業采取以下策略來構建全面且有效的解決方案：

· 提升可視性：企業應首先確保對API的全面掌控和清晰認知。這包括對所有API的存在、端點及功能進行詳盡梳理和記錄。通過增強API的透明度，企業能夠及時發現并處理潛在的安全隱患。

· 強化漏洞管理：從設計和構建階段開始，企業應建立一套完整的漏洞管理體系。利用OWASP安全風險清單等工具為開發人員提供良好編碼實踐的指導；同時，與專業的安全廠商合作，共同推進跨部門、跨團隊的協作機制，以實現對潛在風險的及時識別和有效防御。

· 加強業務邏輯保護：鑒于攻擊手段的多樣化，企業需高度重視業務邏輯的安全性。通過建立業務邏輯基線、實施嚴格的訪問控制和審計機制等措施，企業能夠有效抵御針對業務邏輯的攻擊行為，確保關鍵業務數據的安全與完整。  

在 AI 時代，移動應用和邊緣應用的 API 安全至關重要。企業只有充分認識到當前 API 安全面臨的挑戰，并借助專業合作伙伴的解決方案，從提升可見性、全生命周期防護以及靈活部署等多方面入手，才能有效地保護 API 安全，為企業的數字化轉型與創新發展保駕護航。