Principais conclusões
- A expansão das APIs está superando a resiliência da segurança. A rápida inovação em digitalização e IA fez os inventários de APIs dispararem, com ambientes medianos ultrapassando 5.900 endpoints. Sem um nível correspondente de maturidade em segurança, esse crescimento cria uma superfície de ataque impossível de gerenciar, que 87% das empresas não conseguiram defender no ano passado.
- A adoção de IA atua como um multiplicador de riscos para a camada de APIs. As organizações investiram US$ 37 bilhões em GenAI em 2025, alocando US$ 19 bilhões para a camada de aplicação. No entanto, essas aplicações dependem de APIs que muitas vezes não contam com a visibilidade ou os controles de segurança necessários. Como consequência, 42% dos incidentes de segurança agora estão vinculados a APIs que viabilizam aplicações, modelos e agentes de IA.
- Fluxos de dados invisíveis criam enormes pontos cegos de conformidade e segurança. Embora muitas empresas afirmem ter inventários completos, apenas 23% sabem de fato quais APIs retornam dados confidenciais, uma queda em relação aos 40% de 2022. Essa falta de visibilidade impede que as equipes priorizem os riscos, deixando dados regulamentados expostos a acessos não autorizados.
- Existe uma perigosa "lacuna de percepção" entre a liderança e as equipes técnicas. Quarenta por cento dos executivos C-level acreditam que seus testes de segurança de APIs são "avançados", enquanto apenas 28% das equipes de DevSecOps que realizam esse trabalho concordam. Esse desalinhamento mascara fragilidades operacionais críticas e atrasa investimentos necessários em segurança automatizada.
- Falhas na segurança de APIs resultam em uma erosão financeira significativa e quantificável. O custo médio anual dos incidentes relacionados a APIs chegou a US$ 700.000 por organização, impulsionado por remediação, indisponibilidade e honorários advocatícios. A implementação de ferramentas dedicadas de segurança de APIs é essencial para mitigar esses custos crescentes e proteger os resultados financeiros das empresas.
Perguntas frequentes (FAQ)
Perguntas frequentes (FAQ)
De acordo com o estudo de 2026, 87% dos entrevistados relataram ter sofrido pelo menos um incidente de segurança relacionado a APIs nos últimos 12 meses, um aumento significativo em relação aos 78% registrados em 2022.
O custo médio dos incidentes relacionados a APIs é de US$ 700.000 por organização, embora o quartil superior das empresas afetadas tenha relatado custos superiores a US$ 1,8 milhão.
As aplicações de IA dependem de APIs para acessar dados e acionar ações, mas essas APIs muitas vezes são criadas sem resiliência adequada. Quarenta e dois por cento dos entrevistados atribuíram eventos de segurança a APIs que viabilizam aplicações, agentes e LLMs de IA.
Configurações incorretas são citadas como a principal causa de incidentes, em um momento em que quase metade das empresas relata estar apenas ligeira a moderadamente preparada para lidar com elas.
O setor de serviços financeiros se destaca como o mais visado, com 96% dos entrevistados desse setor relatando um ataque relacionado a APIs nos últimos 12 meses.
APIs vinculadas à IA são definidas como APIs que fornecem ou recuperam dados confidenciais, conectam-se a agentes ou grandes modelos de linguagem (LLMs) ou permitem ações automatizadas sem visibilidade ou governança abrangentes.
Embora cerca de três quartos dos respondentes afirmem ter um inventário completo de APIs, menos de um em cada quatro (23%) sabe de fato quais dessas APIs retornam dados confidenciais mediante solicitação.
A perda de produtividade foi o impacto mais citado dos incidentes de segurança de APIs sofridos pelos participantes do estudo em 2025, seguida por outros fatores, como reputação da marca e perda de receita.