F5最新報(bào)告指出,亞太地區(qū) API 安全缺口持續(xù)擴(kuò)大,亟需強(qiáng)化治理體系與韌性建設(shè)
新加坡,2025 年 12月 9日——F5(NASDAQ:FFIV)最新發(fā)布的研究報(bào)告《2025年戰(zhàn)略重點(diǎn): 保障亞太地區(qū)代理式人工智能時(shí)代的API安全》,指出隨著代理式人工智能(Agentic AI)在亞太地區(qū)的加速落地,不安全的應(yīng)用程序接口(API)正迅速擴(kuò)大成為關(guān)鍵風(fēng)險(xiǎn)盲區(qū)。該報(bào)告深入探討了隨著AI應(yīng)用加速普及,API在驅(qū)動(dòng)亞太數(shù)字體驗(yàn)的同時(shí),安全威脅格局正被重塑。
目前,亞太地區(qū)超 80% 的企業(yè)通過(guò) API 部署AI和機(jī)器學(xué)習(xí)模型。API已從簡(jiǎn)單的數(shù)據(jù)連接器,演變成為關(guān)鍵執(zhí)行載體,使代理式AI系統(tǒng)能夠感知環(huán)境、自主決策,并以機(jī)器速度自主執(zhí)行操作。若缺乏強(qiáng)有力的安全防護(hù)、不當(dāng)?shù)臋?quán)限配置或薄弱的治理機(jī)制,可能會(huì)引發(fā)大規(guī)模的非預(yù)期行為,甚至具有潛在破壞性。
盡管亞太地區(qū)63%的企業(yè)認(rèn)為API安全對(duì)業(yè)務(wù)連續(xù)性、合規(guī)要求及 AI 轉(zhuǎn)型至關(guān)重要,但在治理和執(zhí)行層面仍嚴(yán)重滯后。僅42%的企業(yè)表示具備成熟的API治理能力,而設(shè)立專門的 API安全職能部門的企業(yè)僅有22%。在中國(guó)市場(chǎng),這一“戰(zhàn)略重要性遠(yuǎn)超能力成熟度”的矛盾同樣顯著。盡管57%-61%的中國(guó)企業(yè)將API安全列為關(guān)鍵事項(xiàng),但僅有39%-42%的企業(yè)表示自身的API安全能力已達(dá)到成熟水平。隨著代理式AI系統(tǒng)開始自主調(diào)用并執(zhí)行API,這一執(zhí)行差距正在被進(jìn)一步放大,成為影響企業(yè)安全韌性的新隱患。
Twimbit創(chuàng)始人兼首席執(zhí)行官M(fèi)anoj Menon表示,“我們的研究顯示,亞太地區(qū)許多企業(yè)尚未具備與AI 普及速度和規(guī)模相匹配的API安全防護(hù)能力。企業(yè)普遍缺乏專門團(tuán)隊(duì)、統(tǒng)一治理以及先進(jìn)的安全能力,而這些能力缺口正在代理式AI時(shí)代迅速演變?yōu)閼?zhàn)略短板。想要彌補(bǔ)這些不足,企業(yè)必須強(qiáng)化治理體系,并在API全生命周期建立端到端的控制機(jī)制,以保障業(yè)務(wù)連續(xù)性、合規(guī)性及信任度。”
F5 亞太區(qū)首席技術(shù)官M(fèi)ohan Veloo表示,“AI 智能體的高速自主能力要求將API安全嵌入業(yè)務(wù)運(yùn)營(yíng)底座。這意味著需要將治理、可視性及策略執(zhí)行直接整合至API工作流,確保每一次無(wú)論是人為還是機(jī)器發(fā)起的交互均能經(jīng)過(guò)實(shí)時(shí)認(rèn)證、授權(quán)與監(jiān)控。F5正助力亞太地區(qū)企業(yè)強(qiáng)化這些關(guān)鍵管控措施,使其能在不犧牲韌性與靈活性的前提下,自信地?cái)U(kuò)大AI應(yīng)用規(guī)模。”
本報(bào)告的其他關(guān)鍵洞察包括:
●業(yè)務(wù)邏輯漏洞居API安全擔(dān)憂之首:三分之一的亞太地區(qū)企業(yè)將對(duì)敏感業(yè)務(wù)流的無(wú)限制訪問(wèn)(OWASP API6)列為首要 API 安全風(fēng)險(xiǎn)。其他關(guān)鍵擔(dān)憂還包括資源消耗無(wú)限制(OWASP API4)及安全配置錯(cuò)誤(OWASP API8)。超 30% 的企業(yè)指出,資源濫用及配置不當(dāng)正在削弱其API層面的控制能力。這些漏洞一旦被利用,可能導(dǎo)致數(shù)字服務(wù)中斷、損害客戶信任,凸顯了加強(qiáng)API層面治理的迫切性。
●影子 API 與僵尸 API 形成治理盲點(diǎn):超三分之一(36%)的企業(yè)將未記錄的影子API列為高風(fēng)險(xiǎn)威脅,但僅38%的企業(yè)具備有效的發(fā)現(xiàn)機(jī)制。這些未受治理的影子API與過(guò)時(shí)的僵尸API共同構(gòu)成極易被利用的重大安全漏洞。
●應(yīng)對(duì)準(zhǔn)備不足,對(duì)關(guān)鍵API風(fēng)險(xiǎn)缺乏充分信心:盡管亞太地區(qū)企業(yè)普遍認(rèn)識(shí)到API安全威脅的嚴(yán)重性,但運(yùn)營(yíng)層面的應(yīng)對(duì)準(zhǔn)備仍參差不齊。僅36%的企業(yè)表示針對(duì)大多數(shù)OWASP API安全風(fēng)險(xiǎn)做好充分準(zhǔn)備,而仍有14%的企業(yè)仍處于初始準(zhǔn)備階段。許多企業(yè)依然嚴(yán)重依賴傳統(tǒng)的邊界防護(hù)措施,如Web應(yīng)用防火墻(51%)和身份和訪問(wèn)權(quán)限管理解決方案(42%)。然而這些措施并不適用于治理動(dòng)態(tài)且具有自主性的API交互。隨著AI采用普及加速,這一安全缺口正變得極具危險(xiǎn)性。
從被動(dòng)防護(hù)到韌性保障:代理式 AI 的五大戰(zhàn)略重點(diǎn)
未來(lái)一年,69%的亞太地區(qū)企業(yè)預(yù)計(jì)API安全支出將出現(xiàn)中度至顯著增長(zhǎng),這表明API正日益成為董事會(huì)層面的優(yōu)先事項(xiàng)。然而,要確保更大的預(yù)算能夠真正提升網(wǎng)絡(luò)韌性,而非導(dǎo)致分散的零散投入,統(tǒng)一的監(jiān)督與治理至關(guān)重要。
為彌補(bǔ)可能影響AI轉(zhuǎn)型的治理缺口,F(xiàn)5建議企業(yè)聚焦以下五大戰(zhàn)略重點(diǎn):
●明確高管層對(duì)端到端API治理的所有權(quán):將分散在DevOps、安全及基礎(chǔ)設(shè)施團(tuán)隊(duì)的治理職責(zé)整合為統(tǒng)一治理機(jī)制,使API策略與企業(yè)AI、風(fēng)險(xiǎn)管理及轉(zhuǎn)型戰(zhàn)略保持一致。
●優(yōu)先推進(jìn)發(fā)現(xiàn)、配置、運(yùn)行及測(cè)試全生命周期控制:實(shí)施全面的API安全解決方案,包括自動(dòng)發(fā)現(xiàn)、訪問(wèn)范圍與速率限制的策略管理、運(yùn)行時(shí)威脅檢測(cè)及部署前后的安全測(cè)試。
●將智能體感知可視性嵌入API流量監(jiān)控:部署能夠檢測(cè)自主行為模式、記錄上下文操作,并支持人機(jī)活動(dòng)實(shí)時(shí)可追溯的系統(tǒng)。
●在人工與智能體API使用中統(tǒng)一執(zhí)行基于OWASP的策略:實(shí)施運(yùn)行時(shí)控制,用于功能級(jí)授權(quán)和配置錯(cuò)誤檢測(cè),確保無(wú)論是人類用戶還是 AI 智能體訪問(wèn)API,均能實(shí)現(xiàn)一致的安全策略執(zhí)行。
●通過(guò)治理架構(gòu)將API行為與智能體意圖及業(yè)務(wù)成果關(guān)聯(lián):明確界定自主系統(tǒng)可執(zhí)行的行為邊界、適用條件,并建立適當(dāng)?shù)谋O(jiān)督機(jī)制,將智能代理行為與企業(yè)業(yè)務(wù)策略緊密關(guān)聯(lián)。
為評(píng)估代理式AI時(shí)代的亞太地區(qū) API 安全現(xiàn)狀,F(xiàn)5委托Twimbit 于 2025 年上半年開展調(diào)研,覆蓋來(lái)自安全、DevOps、SecOps及應(yīng)用開發(fā)等多個(gè)領(lǐng)域的1000 名專業(yè)人士。受訪者分布于 10 個(gè)亞太市場(chǎng):澳大利亞、中國(guó)大陸、印度、印度尼西亞、日本、韓國(guó)、馬來(lái)西亞、新西蘭、新加坡及中國(guó)臺(tái)灣地區(qū)。
如需了解報(bào)告及研究發(fā)現(xiàn)的更多詳情,請(qǐng)點(diǎn)擊此處下載《2025年戰(zhàn)略重點(diǎn): 保障亞太地區(qū)代理式人工智能時(shí)代的API安全》報(bào)告。
免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。
關(guān)鍵詞:
營(yíng)業(yè)執(zhí)照公示信息