智慧型手機與人工智慧(AI)已成為推動全球經濟發展的關鍵動能。隨著生成式 AI 與自動化技術加速企業數位化轉型,API 已成為企業串接服務與資料的核心基礎架構,但同時也帶來全新的攻擊面。許多企業對外提供的服務,無論是面向供應商或客戶,皆透過應用程式介面(API)來串接新興的線上服務、既有系統(Legacy System)與資料庫,進而衍生出另一項重要的資安議題 —— API 攻擊風險。近年來,AI 驅動的自動化流量快速成長,使企業在辨識合法與惡意 API 請求或資料存取時,面臨更高的複雜度與風險。
日前,全球資安領導品牌 Thales 旗下的 Imperva 發布《2025 API 威脅報告》。該報告針對超過 4,000 個企業環境進行調查,於 2025 年上半年即發現多達 4 萬起 API 相關攻擊事件,其中 37% 以資料存取為目標,32% 鎖定支付流程,另有 16% 屬於身分驗證憑證竊取。
漏洞持續困擾業界
Thales API 安全產品副總裁 Lebin Cheng 表示,API 資安風險的核心問題之一,在於企業現代化進程不一致,導致 API 漏洞長期存在。除了舊有系統的限制外,部分對外開放的 API,實際上是用來串接原本僅限內部使用的系統與應用程式。一旦企業轉向雲端架構,卻未同步調整資料存取權限與資安控管流程,往往會引發嚴重且難以補救的問題,這也是近年資安圈高度關注的關鍵挑戰。
此外,部分駭客也開始運用 AI 工具,針對不同 API 架構進行自動化攻擊。Lebin Cheng 以 2022 年澳洲電信業者 Optus 為例,該公司因 API 漏洞遭到長時間的低速滲透攻擊,直到事後才發現約 1,000 萬名客戶資料遭竊。這類攻擊的特性在於入侵成本低、回報率卻極高。
他進一步指出,API 資安問題往往防不勝防,業界早期嘗試以封鎖手段因應,但實際成效有限。其中如 BOLA(Broken Object Level Authorization)等攻擊,屬於設計層面的問題,在實務上極難事前察覺,往往等到事件爆發才驚覺漏洞已存在。
Thales API 安全產品副總裁 Lebin Cheng 指出,當企業服務邁向雲端架構,若相關的資料存取與資安流程未同步調整,往往會造成難以挽回的風險,這也成為近 5 年來資安產業高度關注的議題。
有效阻擋多數入侵行為
為協助企業克服數位轉型過程中的 API 資安挑戰,Imperva 早已建構同時涵蓋應用層與資料層的 API 安全防護架構。Lebin Cheng 表示,該防護設計涵蓋多項評估面向,包括登入時間、資料存取模式等,並透過行為輪廓(Profile)、風險評估(Assessment)與分析報告(Report)進行整體監控。
以信用卡資料為例,正常情境下僅會發生單次、特定使用者與卡號的資料存取行為。一旦 API 的讀寫行為出現異常,系統便會即時阻擋,可有效防禦高達 99.999% 的入侵風險。同時,系統僅會暫停可疑的連線工作階段(Session),而非全面關閉服務,避免影響正常使用者體驗,確保整體服務可用性不受影響。
企業對 API 資安意識持續升溫
在更宏觀的層面上,Imperva 的 API 安全架構亦能因應不同產業需求,協助企業符合如金融產業 PCI 合規標準等,並配合各國與不同地區的法規要求。談及實務經驗,Richard Chiu 表示,企業對 API 資安的重視度正持續提升,但在推動相關專案時,CISO 往往需面對既有流程與系統架構調整的挑戰,導致導入進程受到影響。不過,他也認為,在 AI 與數位轉型浪潮持續推進下,未來將進一步加速企業對 API 資安的認知與實際部署。
資料來源:香港經濟日報
進一步了解