- 商业企业频繁遭遇 API 安全事件,其中以访问控制和与 AI 相关的网络攻击为主。商业领域负责人报告称,针对访问控制缺失或不充分的漏洞利用是去年他们遭遇的最常见安全事件类型,紧随其后的是涉及与 AI 技术相关 API 的网络攻击。
- 缺乏对敏感客户和支付数据流的监测能力仍然是一个关键的短板。尽管许多商业企业声称拥有完整的 API 清单,但很少有企业知道其中哪些 API 会返回敏感数据。
- 商业企业负责人正在将 AI 安全视为优先事项,但测试成熟度和运行时保护依然滞后。保护 AI 技术免受攻击是 41% 的商业企业的首要网络安全任务。
要点汇总
常见问题
常见问题
根据 2026 年的调查,85% 的商业企业在过去 12 个月中曾遭遇至少一次与 API 相关的安全事件。
最常见的安全事件类型是针对访问控制缺失或不充分的漏洞利用,紧随其后的是涉及与 AI 技术相关 API 的网络攻击。
攻击者可以利用经过操纵的提示,诱骗 AI 购物助手向缺乏防护的底层 API 发送请求,从而导致其在未经核实的情况下泄露敏感的客户数据或支付详细信息。
监测能力低得令人担忧,因为只有约 22% 的商业企业能够跟踪其清单中哪些 API 实际返回了敏感的客户或支付数据。
研究发现,高管层往往会高估自身企业的安全准备度。与每天在一线处理 API 事务的 DevSecOps 和应用程序安全专业人员相比,高管们所报告的成熟度与集成度水平要高出 2% 到 12%。
尽管 92% 的企业表示已将 API 纳入合规考量,但实际上仅有 36% 的企业会将其列入正式的合规报告,这导致概要意图与实际监管措施之间存在脱节。
团队应重点落实以下工作:对所有 API 实施持续的自动发现;在整个开发生命周期内,将重心从功能测试转向严格的安全测试;并增加专门的行为运行时防护。