重要信息
- API 的扩展速度已经远远超过安全防护能力。在数字化和 AI 快速创新的推动下,API 清单呈爆炸式增长,保守估计已超过 5,900 个端点。如果没有相匹配的安全成熟度,这种增长将产生一个难以管理的攻击面,而去年的情况是,87% 的企业未能成功防御这一攻击面。
- AI 应用正在放大 API 层的风险。2025 年企业在生成式 AI 领域的投入达到 370 亿美元,其中 190 亿美元流向应用层。然而,这些应用程序所依赖的 API 往往缺乏必要的监控和安全控制措施;其结果是,42% 的安全事件都与支撑 AI 应用程序、模型及智能体运行的 API 密切相关。
- 数据流缺乏监控,造成大量合规和安全盲点。尽管许多企业声称已掌握完整的 API 清单,但实际上,仅有 23% 的企业清楚哪些 API 会返回敏感数据,较 2022 年的 40% 明显下降。这种洞察力的缺失,使安全团队难以恰当划分风险优先级,让受监管的数据暴露于未经授权的访问之下。
- 领导层与技术团队之间存在危险的“认知落差”。40% 的高管层认为其 API 安全性测试已达到“先进”水平,而在 DevSecOps 团队中,持这一看法的比例仅为 28%。这种落差掩盖了关键的运营短板,也延缓了对自动化安全防护的必要投入。
- API 安全失守带来严重且可量化的财务损失。与 API 相关的安全事件,使企业平均每年承受高达 700,000 美元的损失,涵盖补救成本、停机和法律支出。实施专门的 API 安全防护工具,是遏制成本持续攀升、保护企业最终效益的关键。
常见问题 (FAQ)
常见问题 (FAQ)
据 2026 年报告显示,87% 的受访者在过去 12 个月内曾遭遇至少一次与 API 相关的安全事件,较 2022 年的 78% 明显上升。
与 API 相关的安全事件每年给企业造成平均 700,000 美元的损失;而受影响最严重的前 25% 企业表示,其损失已超过 180 万美元。
AI 应用程序依赖 API 来访问数据并触发操作,但这些 API 在开发之初,往往缺乏足够的安全防护能力。42% 的受访者表示,这类安全事件与支撑 AI 应用程序、智能体和 LLM 的 API 密切相关。
配置错误被列为主要的事件成因;而与此同时,近一半的企业表示,其应对此类事件的能力仅处于较低到中等水平。
金融服务业最为突出,该行业 96% 的受访者表示,在过去 12 个月内曾遭遇过与 API 相关的攻击。
“与 AI 相关的 API”是指那些用于提供或检索敏感数据、与智能体或大语言模型 (LLM) 连接,或支撑自动化操作的 API——且这些 API 通常缺乏全面的监控和管理。
约 3/4 的受访者声称拥有完整的 API 清单,但实际上,不到 1/4 (23%) 清楚哪些 API 会根据请求返回敏感数据。
在 2025 年遭遇过 API 安全事件的受访者中,生产力下降是最常被提及的影响,其次是品牌声誉受损和收入损失。