惡意機器人持續在全球各地及各行各業發動攻擊,而人工智慧(AI)的迅速崛起,更加劇了這股攻勢,讓機器人變得更加聰明且難以偵測。過去 12 年來,Imperva 持續協助企業管理並緩解惡意機器人威脅。今年 Imperva 也再次發布《2025 Imperva 惡意機器人報告》,希望協助企業更清楚了解自動化流量所帶來的挑戰與風險。特別值得關注的是,惡意機器人正迅速成為企業難以忽視且代價高昂且的資安威脅。
AI 掀起新一波機器人攻擊潮
這份第 12 年的年度研究報告中,Imperva 深入探討快速演變的自動化網路流量現況,檢視 AI 如何重塑機器人威脅格局,以及 API 做為現代數位基礎架構的核心,面對愈趨隱蔽、經 AI 強化的攻擊,為何需要具備能與威脅齊頭並進的防禦機制。
報告指出,AI 在機器人攻擊中扮演的角色日益重要,不僅提升了攻擊的規模與普及性,更強化了機器人躲避偵測的能力。惡意機器人越來越常以資料爬取(data scraping)、帳號劫持(account hijacking)、網路庫存操縱(inventory manipulation)等手法對企業發動攻擊,藉此獲取經濟利益。隨著 AI 持續進化,企業必須採取更先進的防護策略,以防範詐騙行為、財務損失與資安風險。《2025 Imperva 惡意機器人報告》也提供十項建議,協助企業更有效緩解機器人攻擊的威脅。
AI 也降低了潛在攻擊者的進入門檻,使得低階機器人攻擊大量湧現。即便是技術能力不足的攻擊者,透過生成式 AI 工具與「機器人即服務」(BaaS)平台,現在也能輕易發動攻擊。
另一方面,AI 也讓進階機器人變得更加聰明,能透過機器學習針對防禦策略進行調整,持續優化攻擊手法,並反覆嘗試,直至成功滲透目標。
隨之而來的,是更高階、更難防禦的惡意機器人,讓企業面臨前所未有的風險。隨著自動化流量不斷攀升,資安團隊也必須同步調整應用程式的防護方式,以因應不斷演變的威脅態勢。
以下為《2025 Imperva 惡意機器人報告》的重點摘要:
機器人正逐漸取得主導權
2024 年,自動化流量首次在十年內超越人類流量,佔整體網路流量的 51%。這一變化主要源自 AI 與大型語言模型(LLM)的快速普及,讓技術水準較低的人也能輕易開發、部署機器人。
惡意機器人已佔據 37% 網路流量
惡意機器人活動已連續第 6 年上升,目前已佔整體網路流量的 37%,相較前一年的 32% 增幅顯著,威脅持續擴大。
AI 持續助長低階惡意機器人的增長
《2025 Imperva 惡意機器人報告》根據機器人攻擊的複雜程度及規避偵測時所使用的策略,將機器人攻擊分為高、中、低階三種類型。2024 年,低階惡意機器人的流量由 2023 年的 40% 以下,大幅增加至 45%,背後的關鍵因素正是 AI 技術的廣泛應用。
鎖定 API 的機器人攻擊激增至 44%
2024 年,高達 44% 的高階惡意機器人流量以 API 為目標,相較之下,僅有 10% 鎖定應用程式,顯示攻擊者正逐漸將目標轉向 API 端點。API 不僅負責處理關鍵或高價值的資料,更是現代企業系統間相互連接的核心。
在所有針對 API 的機器人攻擊中,金融服務、商業、電信與醫療產業是主要目標,佔所有 API 攻擊的 75% 以上。這些產業高度依賴 API 進行關鍵業務與敏感交易,因此成為高階機器人攻擊的首選目標。
在所有針對 API 的機器人攻擊中,超過 75% 鎖定金融服務、商業、電信與醫療產業。由於這些產業高度依賴 API 執行關鍵業務與敏感交易,因此特別容易成為高階惡意機器人攻擊的首要目標。
帳號接管攻擊成長 40%
帳號接管(Account Takeover, ATO)攻擊,是指攻擊者透過惡意機器人以憑證填充(Credential Stuffing)和密碼破解等手法,非法存取並盜用使用者的線上帳戶,進而造成企業與消費者的數位身分被竊取和財務損失。
2024 年,帳號接管攻擊激增 40%,推測主因是網路犯罪者開始大量運用 AI 與機器學習來強化與優化攻擊手法。在所有產業中,金融服務仍是帳號接管攻擊的首要目標,佔 2024 年 ATO 攻擊的 22%。
繞過偵測的攻擊手法
隨著機器人變得越來越複雜,越來越擅長模仿人類行為,資安團隊在辨別機器人與真實用戶上也面臨前所未有的挑戰。隨著 AI 工具的廣泛應用,攻擊者也不斷進化其規避偵測的手段,進一步提高防禦的難度。
《2025 Imperva 惡意機器人報告》詳細探討了攻擊者最常用的規避手法,包括:使用住宅代理(Residential Proxy)、偽造瀏覽器身分、AI 協助的自動化腳本、無頭瀏覽器(Headless Browser)與各種反偵測工具,藉此避開資安防護的偵測。
惡意機器人攻擊最頻繁的產業
2024 年,旅遊業超越零售業,成為惡意機器人攻擊最頻繁的產業,佔總攻擊量的 27%。旅遊業和航空公司首當其衝,面臨大量威脅正常營運的自動化攻擊,對業務穩定性構成嚴重威脅。
報告指出,2024 年旅遊網站的網路流量中,有高達 48% 來自惡意機器人,其餘才為 47% 的真人用戶流量,以及 5% 的良性機器人流量。
針對旅遊業的攻擊中,有 52% 為「低階機器人攻擊」,較 2023 年的 34% 顯著提升,進一步印證 AI 加速低階機器人攻擊成長的推論。其餘攻擊則為 41% 的高階攻擊和 7% 的中階攻擊。
資料來源:Imperva
惡意機器人已成企業重大風險來源
從資料爬取到帳號劫持(Account Hijacking),自動化威脅正以前所未有的速度增長,惡意機器人已佔整體網路流量的 37%,成為企業無法忽視且代價高昂的長期威脅。
隨著 AI 技術快速發展,攻擊者能打造更先進、更難以偵測的機器人,專門針對 API 發動攻擊、濫用業務邏輯並助長詐騙行為。同時,AI 也降低技術門檻,促使低階機器人攻擊量大幅增加。
自動化流量首次在十年內超越人類流量,佔所有網路流量的 51%。企業亟需重新檢視並強化其資安策略,導入進階防護策略,以因應日益複雜的機器人威脅,防範詐騙、財務損失與相關資安風險。
《2025 Imperva 惡意機器人報告》深入解析自動化攻擊趨勢,揭露惡意機器人如何滲透各行各業、繞過防護機制,並破壞數位生態系統。立即下載報告,搶先掌握機器人威脅風險,以及保護應用程式、API 和客戶資料的關鍵防護策略。