惡意機器人持續對全球各地區及產業發動攻擊，而人工智慧（AI）的崛起，更加劇了這股攻擊潮，使機器人變得前所未有地聰明且難以察覺。過去十二年來，Imperva 一直致力協助企業管理並緩解惡意機器人威脅；今年我們持續發布《2025 Imperva 惡意機器人報告》，希望能協助企業更清楚了解自動化流量帶來的挑戰與風險。特別值得關注的是，惡意機器人正迅速成為代價高昂而難以忽視的企業挑戰。

AI 掀起新一波機器人攻擊浪潮

這份第 12 年的年度研究報告中，Imperva 深入探討快速演變的自動化網路流量現況，檢視 AI 如何重塑機器人威脅格局，以及 API 做為現代數位基礎架構的核心，面對愈趨隱蔽、經 AI 強化的攻擊，為何需要具備能與威脅齊頭並進的防禦機制。

報告指出，AI 在機器人攻擊中扮演的角色日益重要，不僅提升了攻擊的規模與普及性，更強化了機器人躲避偵測的能力。惡意機器人越來越常以資料爬取（data scraping）、帳號劫持（account hijacking）、網路庫存操縱（inventory manipulation）等手法對企業發動攻擊，藉此獲取財務利益。隨著 AI 持續進化，企業必須採取更先進的防護策略，以防範詐騙行為、財務損失與資安風險。本報告也提供十項建議，協助企業更有效緩解機器人攻擊的威脅。

AI 同時降低了啟動攻擊的門檻，推動低階機器人攻擊大量湧現。藉由生成式 AI 工具與「機器人即服務」（BaaS）平台，即使缺乏技術背景的攻擊者，如今也能輕易發動攻擊。

另一方面，AI 也促使進階機器人變得更加聰明，能透過機器學習針對防禦策略進行調整，持續優化攻擊手法，並反覆嘗試，直至成功滲透目標。

隨之而來的，是一波更高階、更難防禦的惡意機器人浪潮，讓企業面臨前所未有的風險。隨著自動化流量不斷攀升，資安團隊的應變方式也必須同步升級，才能因應這個不斷演變的威脅版圖。

以下為報告重點摘要：

機器人正逐漸取得主導權

2024 年，自動化流量首次在十年間超越人類活動，佔整體網路流量的 51%。這一變化被認為主要受到 AI 與大型語言模型（LLM）快速普及的推動，使得即便是技術門檻較低的攻擊者，也能更輕易地開發與部署機器人。

惡意機器人已佔據 37% 網路流量

惡意機器人活動已連續第六年上升，現在已佔整體網路流量的 37%，相較前一年的 32%，增幅顯著，威脅持續擴大。

AI 持續助長低階惡意機器人的增長

根據報告的分類，惡意機器人攻擊依照偵測規避技巧與複雜程度，分為高階、中階與低階三種類型。2024 年，低階惡意機器人的流量由 2023 年的不到 40%，上升至 45%，成長幅度明顯，背後關鍵原因正是 AI 技術的廣泛應用，讓攻擊門檻大幅降低。

鎖定 API 的機器人攻擊激增至 44%

2024 年，有高達 44% 的高階惡意機器人流量鎖定 API，遠高於僅有 10% 攻擊應用程式的比例。這顯示出攻擊者策略性的轉向，以 API 為主要攻擊目標。API 負責處理關鍵或高價值資料，更是現代企業數位基礎架構的核心連結點，自然成為攻擊重點。

在所有針對 API 的機器人攻擊中，金融服務、商業、電信與醫療產業首當其衝，合計佔比超過 75%。這些產業高度仰賴 API 來進行關鍵業務與敏感交易，因此更容易遭遇複雜機器人攻擊的威脅。

帳號接管攻擊成長 40%

帳號接管（Account Takeover, ATO）攻擊，是指攻擊者透過惡意機器人進行憑證填充（Credential Stuffing）與密碼破解等手法，非法入侵並奪取使用者的線上帳號，進而造成數位身分盜用與金錢損失，對企業與消費者皆構成嚴重威脅。

2024 年，帳號接管攻擊激增 40%，推測主因是網路犯罪者開始大量運用 AI 與機器學習來強化與優化攻擊手法。

在所有產業中，金融服務仍是帳號接管攻擊的首要目標，佔 2024 年 ATO 攻擊總數的 22%。

繞過偵測的攻擊手法

隨著機器人越來越精密，且更擅長模擬人類行為，資安團隊在分辨惡意機器人與真人用戶之間面臨更大挑戰。隨著 AI 工具的普及與應用擴張，攻擊者也不斷進化其繞過偵測的手法。

本次的惡意機器人研究報告詳細探討了攻擊者最常用的躲避技術，包括：使用住宅代理（Residential Proxy）、偽造瀏覽器身分、AI 協助的自動化腳本、無頭瀏覽器（Headless Browser）與各種反偵測工具，藉此避開資安防護機制的偵測。

攻擊最頻繁的產業

在 2024 年，旅遊業超越零售業，成為惡意機器人最集中的攻擊對象，佔所有惡意機器人攻擊的 27%。旅遊業，尤其是航空公司，正面臨大量來自自動化攻擊的嚴峻挑戰，這些攻擊意圖干擾營運流程。

報告指出，2024 年旅遊網站的網路流量中，有高達 48% 來自惡意機器人，其餘為 47% 的真人用戶流量，以及 5% 的良性機器人流量。

針對旅遊產業的攻擊中，有 55% 為「低階機器人攻擊」，相較於 2023 年的 34% 有明顯上升，進一步印證 AI 加速低階機器人攻擊成長的趨勢。而進階型攻擊佔比為 41%，中度型攻擊僅佔 7%。

惡意機器人已成企業主要風險

從資料蒐集到帳號盜用，惡意機器人已成為企業無法忽視的長期威脅，且代價高昂。隨著 AI 加速惡意機器人擴散，企業必須果斷採取行動，導入進階防護策略，以防範詐騙、財務損失與資安風險。

立即下載《2025 Imperva 惡意機器人報告》，深入了解最新機器人攻擊趨勢，以及關鍵防護建議。

資料來源：Imperva