企业AI普及下的隐藏盲区,Akamai报告揭示API安全问题
飞象原创(魏德龄/文)企业对于AI的应用热情愈发高涨,但每一次API 调用都暗藏安全风险。近期,Akamai委托第三方机构调研编制的《API安全影响研究》揭示了当前的一个重要企业安全隐患,即在AI创新加速与API规模激增的背景下,企业的安全治理很可能已明显落后,对于AI相关的API安全事件无法做好应对准备。
根据统计,API安全事件正在频繁出现,不少企业已付出高昂的代价。
API安全事件频出
报告显示,过去12个月里,81%的亚太地区受访企业遭遇过API安全事件;在各类API安全攻击中,43%的攻击针对AI应用、大语言模型相关API;亚太地区单起API安全事件造成的平均经济损失超过100万美元。
API与AI之间的安全关系在于,无论是大模型、AI智能体,还是搭载AI功能的应用,其与数据、系统、外部工具之间的交互,全部依托API实现。可以说,API是AI体系的管控中枢,API一旦出现漏洞,整套AI系统都将面临极高安全风险。
Akamai北亚区技术总监 刘烨
“过去API调用多源于人的行为,现在则是AI智能体在做决策和调用,这种转变引入了更多意想不到的风险点。”Akamai北亚区技术总监刘烨在近期举行的一场媒体会上表示。
在目前亚太地区五大API安全事件类型的统计中,排名第一的便是跟AI技术相关的API攻击事件,包括并不限于大语言模型、智能体这类当下热门的AI场景;第二是权限缺失引发的越权访问;第三是API 渠道造成的数据泄露;第四是未纳入管控的影子、僵尸API;第五是API的错误配置。
上述五大类型中,跟AI相关的API安全事件增速迅猛,根源在于企业大规模落地各类AI 应用。目前,81%的亚太地区组织在过去12个月中经历过API安全事件,且其中56%的受害者遭遇过4次或更多次的重复攻击。
Akamai亚太地区及日本安全技术与战略总监Reuben Koh表示:“亚太地区的企业正在迅速扩大AI的应用规模,但支撑这种增长的安全底座尚未达到应有的稳健水平。当支持AI应用的API激增并沦为安全盲区时,企业面临的绝不仅仅是技术风险的加剧,更可能意味着大规模的服务中断、高昂的恢复成本以及失去客户信任。API是AI得以发挥作用的关键,因此,企业在构建真正值得信赖的AI系统时必须将API安全视为核心支柱。”
尽管API 安全事故高发,报告却发现大量企业无法完整梳理 API 资产,同时企业高管与技术团队对 API 安全存在明显认知分歧。
API资产盘点缺位的背后
报告两组数据值得行业关注:
一方面在亚太区仅有22%的受访者拥有完整的API清单,其余近八成从业者无法厘清企业全部接口,也不清楚接口是否传输敏感数据。
另一方面,亚太地区高管与技术执行团队之间存在显著的认知差距,56%的高管认为已为API攻击做好充分准备,而一线技术人员中这一比例仅为44%。同时,尽管95%的受访者表示已将API纳入合规要求,但只有40%将其真正纳入监管报送材料,且只有19%将安全测试完全嵌入开发全生命周期。
工具依赖的错位在其中占据很大原因,许多企业过度依赖传统的WAF,只有少部分企业采用了专用API安全解决方案,导致防御能力难以应对复杂的API专项攻击。同时,高管更侧重整体安全战略与合规要求,但不了解API接口迭代、隐形漏洞等一线细节。而技术团队直面各类攻击风险,对隐患感知更敏锐。
刘烨表示,缩小两者间的认知偏差可从三方面入手:第一,统一风险评估标准,对齐双方对安全能力的判断;第二,重构安全流程,依托OWASP API风险标准、红蓝测试等方式,建立标准化防护体系;第三,绑定业务目标与安全目标,让管理层清晰认知安全风险对业务的影响。同时借助自动化安全工具,用客观数据呈现风险现状。
综上,企业的API安全正面临严峻挑战。API可视性作为安全的先决条件,却往往缺乏统一管理与监督,所对应的AI应用正在快速扩大攻击面,未受管理的API资产将引发反复安全事件。而管理层与技术团队对AI风险的认知偏差则进一步削弱了企业的整体防御能力。最终API安全问题将会对企业造成巨大的经济损失与合规风险。
Akamai API安全解决方案
传统WAF、网关、基础访问控制的防护能力已经存在局限性,这类工具无法识别业务逻辑漏洞、权限滥用、凭证失效等问题,即便在传统API场景中也无法实现全面防护,AI场景下短板更加明显。
刘烨表示:“当下企业最需要强化AI智能体权限管控、行为监测、使用规范三大能力。同时需要明确AI系统、内部接口的访问权限边界,制定智能体使用规则。”
Akamai API安全解决方案具有持续发现、态势管理、运行保护、主动测试的能力。可以自动发现、清点并标记影子API、僵尸API以及与AI相关的API,实现即时的治理与合规管理,并且通过审核发现攻击者锁定的各种API漏洞和错误配置,还能利用情境洞察信息来识别数据泄露、可疑行为、恶意爬虫程序和API攻击等风险。
该方案还针对目前AI工具、AI Agent与大模型之间的交互过程中的MCP(模型上下文协议)等新型标准协议提供支持,能够精准识别官方合规接入与违规使用的协议接口。同时,针对AI Agent的访问行为,该方案可实施深度审计与防御,有效拦截数据越权及违反企业安全策略的违规操作。
与此同时,Akamai还正在推进对LayerX的收购谈判,该企业主打安全浏览器,可管控用户使用大模型时的访问行为、提示词内容、数据上传行为,实现对AI安全治理的重要补充。
很多人在谈论AI的时候,都喜欢套用一句话:“买得越多,省得越多”。但对于企业的AI落地而言,如果不关注API安全问题,买得越多的背后,是调用更多的API,导致“买得越多,风险越高”,最终可能是“损失越大”。
1.本网刊载内容,凡注明来源为“飞象网”和“飞象原创”皆属飞象网版权所有,未经允许禁止转载、摘编及镜像,违者必究。对于经过授权可以转载,请必须保持转载文章、图像、音视频的完整性,并完整标注作者信息和飞象网来源。
2.凡注明“来源:XXXX”的作品,均转载自其它媒体,在于传播更多行业信息,并不代表本网赞同其观点和对其真实性负责。
3.如因作品内容、版权和其它问题,请在相关作品刊发之日起30日内与本网联系,我们将第一时间予以处理。
本站联系电话为86-010-87765777,邮件后缀为cctime.com,冒充本站员工以任何其他联系方式,进行的“内容核实”、“商务联系”等行为,均不能代表本站。本站拥有对此声明的最终解释权。
直播 | 2026工业互联网大会
2026年作为“十五五”规划开局关键之年,我国工业互联网建设迈入规模化落地、全产业链深度渗透新阶段,全国工业互联网已实现所有41个工业大类全覆盖,成为驱动实体经济提质增效的核心数字基..[详细]
MWC26上海观察:从工具变成伙伴,AI加速走向“实用”
2026年6月26日,2026年上海世界移动通信大会(MWC26上海)落下帷幕。作为全球移动通信与数字科技的年度风向标,从本届展会“众智启新”的主题不难发现,AI依然是唯一的主角。[详细]
AI工具赋能新时代:普惠大众还是加剧数字鸿沟?
“人工智能不应只服务于少数精英,也不应止步于普通大众,而是应该平等地照亮每一个生命。”中国移动董事长陈忠岳在6月24日MWC2026世界移动通信大会开幕式上说了此番话,在此之前,他还给与..[详细]
“AI×光纤”突破智算极限,长飞向“全球AI光连接基础设施领导者”跃迁
今年的MWC上海展,无论是在新国际博览中心门口、入场区域,还是展馆通道,更或是长飞的展台,都能清晰地看到“AI×光纤 智启未来”的长飞参展主题。值得注意的是,其中I字在视觉呈现中采用了..[详细]
放下身段的连接,能否重回巅峰
不久前,一位业内人士曾感慨,原本今天是5G的生日,居然忘得一干二净了。这或许就是目前很多连接技术的尴尬处境,不只是被很多人戏称为没啥大用的5G,还有普及速度缓慢的Wi-Fi 7,升级换代的..[详细]
能力、应用全面发展:中国算力产业量质齐升
前各行各业都在全面拥抱数字化、智能化,对算力的需求持续快速增长,从国家层面到产业层面也一直在坚持不懈地加大对算力的投入力度。2026年“两会”通过的“十五五”规划纲要明确提出,要统..[详细]













