要点汇总
- 可见性是保障安全的先决条件。快速变化的环境与 AI 的集成带来了盲区,而攻击者正利用这些盲区伺机而入。仅有 22% 的企业能够维护完整的 API 资产清单,并清楚哪些 API 会返回敏感数据,这导致绝大多数企业都暴露在未被追踪的风险之中。
- AI 的应用扩大了攻击面。新兴的 AI 相关 API(例如大语言模型 LLM API)催生了新的依赖关系,它们会在缺乏传统监管的情况下直接检索数据并执行操作。作为最常见且防备最薄弱的攻击向量,这些连接器(API)在沦为漏洞利用的入口点之前,必须对其进行强有力的资产发现。
- 未管理资产是导致安全事件频发的根源。企业在治理影子或僵尸 API 方面举步维艰,这也是导致过去一年中 81% 的亚太区企业遭遇安全事件的主因;若要打破这一持续性威胁的恶性循环,实施更严格的自动化追踪势在必行。
- 管理层与技术团队之间的认知鸿沟,阻碍了企业安全韧性的提升。管理层对 API 测试流程的过度自信,掩盖了其在软件开发生命周期(SDLC)中集成度有限的残酷现实。大多数企业既没有将安全测试纳入其 API 的生命周期中,也没有将 API 测试集成到 CI/CD(持续集成/持续部署)流程中。将管理层的认知与 DevSecOps 团队的实际现状对齐,有助于确保以 API 为驱动的技术(如 AI 应用)在通过测试后,能够具备抵御安全威胁的韧性。
- API 监管不力将带来沉重的财务赤字与合规压力。对敏感数据流向的追踪不力,导致企业不仅容易遭受涉案金额高达数百万美元的安全事件,还面临违反中国、印度和日本等亚太国家本土数据法律的合规风险。具备数据感知能力的 API 可见性现已成为保护企业核心业务投资的一项基本要求。
- 特定市场的剧烈波动正威胁着整个区域的稳定性。日本和新加坡面临着最高的财务风险。其中,日本的安全事件平均成本出现飙升,同比激增近 200%。企业必须摆脱通用策略的局限,转而应对这些局部地区在成本和复杂性上的激增。
常见问题
常见问题
AI 创新与云端迁移的迅猛发展,极大地扩大了 API 资产的规模并增加了其复杂性。这不仅让团队在追踪连接和识别风险时愈发吃力,同时还引入了海量处于“不可见、未经测试且毫无防护”状态的新兴 API。
如今,典型企业平均拥有近 6,000 个 API 的资产清单,而处于前 25% 的最大规模企业,其 API 资产数量甚至可以超过 32,300 个。
研究表明,43% 的亚太地区企业曾遭遇过涉及 AI 技术关联 API(如大语言模型 LLM、AI 应用和 AI 智能体/Agent)的攻击,这也使其成为了排名第一的安全事件类型。
单次事件的平均成本超过 100 万美元,其中最大份额的开支源于系统修复、漏洞补救以及服务停机造成的损失。
在日本受访企业中,仅有 11% 拥有完整的 API 资产清单并清楚哪些 API 会返回敏感数据,这一比例相较于 2025 年的 37% 出现了骤降。
是的。例如,56% 的高管层受访者认为自己已对 AI 相关 API 攻击做好了充分准备,而在负责实际落地的应用安全(AppSec)团队中,这一比例仅为 44%。
诸如中国的《数据安全法》和印度的《数字个人数据保护法》(DPDP Act)等法规,现已要求企业必须证明其有能力掌握并保护与 API 关联的数据流,从而实现对数据泄露事件的有效检测与防范。
尽管有 40% 的企业声称拥有先进的测试手段,但真正将安全测试完全嵌入到 API 软件开发生命周期(SDLC)和 CI/CD 流水线中的企业仅占 19%。