Akamai发布报告：2024年全球Web攻击次数达3110亿次，AI如何治理网络攻击威胁？

aizixun8

环球网财经中心《环球问策》系列报道

近日，《2025年Web应用与API安全态势分享》发布，大中华区解决方案技术经理马俊向记者深入解读了这份报告，马俊强调，AI技术正深刻影响着互联网安全的格局。

大中华区解决方案技术经理马俊

他指出，AI已被广泛应用于互联网的自动化攻击，也被广泛应用于漏洞预测和使用，还被广泛利用在代码编程上。所以针对AI新技术的网络攻击威胁，最好的办法是利用AI技术进行治理。

《报告》表明，2024年全球Web攻击次数为3110亿次，与上一年相比增长了33%。尤其在亚太地区，Web攻击次数激增至510亿次，增长幅度为73%。API攻击同样不能被忽视，OWASP API Top 10相关攻击的月增长率为32%，预计到2026年API风险损失将超过1000亿美元。

马俊进一步阐释了Web攻击和API攻击的区别与关联，他说，Web是我们在网页中能看到的部分，API攻击是针对软件之间通信接口的攻击，这两者有相同点，也存在诸多不同之处。

他特别强调，存在未被授权的情况，或者授权并不恰当，而这正是致使敏感数据出现泄漏以及系统遭到渗透的主要缘由。

在API安全方面，《报告》揭示了四大风险，分别是API滥用，测试频率下降，缺少事先测试，还有僵尸API和影子API 。马俊举例说，我们发现某个电子商务企业，其API未进行充分校验，结果导致同一时间从不同IP地址发起大量请求，造成虚假用户注册和短信发送，带来了直接的经济损失 。

全球各地区对互联网安全和数据隐私保护的要求日益严格，在这种情况下，合规性成为企业不可忽视的重要方面。《报告》指出，API安全事件违反了OWASP和MITRE框架，这显著加剧了企业的合规风险。马俊强调，OWASP API3、API5、API2等存在身份认证漏洞，这些漏洞过度暴露用户隐私数据，进而导致大规模数据泄露，给企业带来了非常大的安全风险 。

不同行业在面对API安全风险时，存在特异性。不同行业在面对API安全风险时，存在共性。马俊分析称，电子商务行业在购物季、促销季等时段，攻击水平会显著提升。金融行业可能因地缘政治事件，引发针对性攻击。但不管是哪个行业，都面临着复杂性Web攻击。不管是哪个行业，都面临着AI驱动的新攻击模式。

《报告》指出，AI技术被攻击者用于多种攻击模式，包括战略性选择目标、攻击自动化、流量型攻击以及基于行为的攻击等 。马俊发出警告，称AI会通过自动化编写钓鱼邮件，诱导点击后窃取设备信息，还会挖掘企业系统漏洞，进而形成复杂性增强的攻击链 。

据介绍，在亚太地区，Web与API攻击总量每年增长73%，达到510亿次，金融业成为Web攻击的主要目标，年增长率超过52%，新加坡在DDoS攻击方面尤为严重，2024年遭受了4.7万亿次攻击，在全球排名靠前。马俊指出，新加坡、印度、韩国以及印尼是遭受DDoS攻击的主要受害国家，在12月的时候，攻击峰值达到了5040亿次，这创下了历史新高 。

针对当前存在的安全挑战，《报告》里提出了六项安全策略，这些策略能帮助企业构建全面防护体系 。

马俊总结说，我们要建立全面的安全计划，实施稳健的互联网安全措施，采取主动防御策略，缓解API漏洞，抵御勒索软件威胁，积极应对AI带来的新挑战 。

具体而言，策略涵盖把安全需求融入开发环节，利用AI对抗AI攻击，部署DDoS防护工具，加强API测试与态势管理，重点防控内部渗透风险，全面应用AI防控技术等。马俊强调，我们要借助AI技术提高安全运维效率，同时强化安全人员的AI技能培训，从而更好地应对未来安全挑战。

展望未来，马俊觉得，AI技术会持续对API安全防护模式产生深刻影响。他透露，即将发布具备针对AI模型防护能力的AI防火墙，用来应对AI本身成为攻击目标的新趋势。他还强调，企业要提前谋划AI安全防护能力，借助AI加快安全运维，抵御AI攻击，保护自身AI系统安全。在构建 API 安全生态这件事上，马俊提出一种倡导，即安全厂商、云服务商和用户之间要形成合作模式，这种合作模式是共享责任的。