根据云安全专家 Akamai 本周发布的数据,2023 年至 2024 年期间,实际观察到超过 1500 亿次应用程序编程接口 ( API ) 攻击,这与 AI 驱动的 API 以及 AI 支持的攻击方式的增长相结合,共同推动了攻击面不断扩大的趋势。
在最新发布的《2025 应用程序与 API 安全现状报告》中,Akamai 表示,在 2024 年,基于网络的网络攻击数量整体增长了三分之一,总计达 3110 亿次,这一显著激增似乎与 AI 带来的威胁范围不断扩大的趋势密切相关。
Akamai 应用安全产品线高级副总裁兼总经理 Rupesh Chokshi 表示: “ AI 正在改变网络和 API 的安全格局,既提升了威胁检测能力,也带来了全新的挑战。” 他补充道: “这份报告是必读资料,有助于了解推动这一变革的因素以及防御者如何通过正确的缓解策略保持领先。”
Akamai 表示,通过 API 将 AI 工具与核心平台集成正 “ 大幅 ” 扩展了攻击面,因为绝大多数基于 AI 的 API 不仅对公众开放,而且通常依赖的安全防护措施不足(例如缺乏认证机制)。这一问题如今还因越来越多的 AI 驱动攻击而雪上加霜。
对最终用户而言,这意味着虽然安全团队能够借助 AI 驱动的自动化技术强化网络应用程序和 API 的防护能力——例如协助发现威胁、预测可能的突破并缩短事件响应时间——但同时 AI 也在帮助攻击者提升攻击效果,通过自动化网络爬虫以及引入更为动态的攻击方法来加剧危害。
展望未来,Akamai 表示,尽管 AI 驱动的 API 管理无疑将持续演进,但 AI 驱动的攻击可能仍然构成重大威胁,这意味着各组织需要采用更为稳固的深度防御安全策略。
网络攻击
谈到网络攻击,Akamai 表示,其观察到针对网络应用程序和 API 的应用层(即第 7 层)分布式拒绝服务 ( DDoS ) 攻击显著增加,月攻击量从 2023 年初的超过 5000 亿次上升到 2024 年末的超过 1 万亿次——这主要得益于恶意机器人和 HTTP 洪泛攻击作为攻击手段的持久存在。
在调查期间,科技行业是此类攻击最频繁的目标板块,累计攻击次数超过 7 万亿次。
按地域划分,EMEA 地区遭受了 2.7 万亿次应用层 DDoS 攻击,其中英国遭受 3060 亿次,而德国则为 3690 亿次。
Akamai 表示,保护网络应用程序和 API 将持续成为各组织日益迫切的需求。报告提出了若干安全决策者应考虑采取的关键措施:
o 制定涵盖 shift-left 和 DevSecOps 技术的 API 安全规划,将安全性从 API 的初期设计延伸至生产后阶段,特别关注持续发现与可视化、认证、速率限制以及对恶意机器人的防护;
o 实施更为坚固的核心安全措施,如持续威胁监控与响应,并采用 API 测试工具,例如动态应用安全测试 ( DAST );
o 主动应对威胁,例如使用专门的 DDoS 防护工具,同时重视补丁管理、访问控制和网络分段;
o 尽早采取措施以缓解 API 漏洞,遵循既定指南(例如 OWASP 的建议),以确保更为完善的安全,并解决因编码不当或配置错误带来的风险;
o 加强对勒索软件威胁的防范,利用零信任架构、微分段以及 Mitre ATT&CK 框架应对;
o 最后,为 AI 做好准备,采取包括机器人防御、AI 驱动的网络工具、专业防火墙及如持续评估和零信任在内的更为主动的防护策略。
好文章,需要你的鼓励
VMware宣布将终止现有渠道合作伙伴计划,新计划采用邀请制,大幅减少授权合作伙伴数量。未受邀合作伙伴将于2025年7月15日收到不续约通知,可继续交易至10月31日。白标计划也将同时终止。此举是18个月内VMware第二次重大合作伙伴调整,旨在专注与少数核心云服务提供商深度合作。客户可能面临续约困难、服务质量下降和成本上升等影响。
StepFun公司推出的Step1X-Edit是首个能够媲美GPT-4o和Gemini2 Flash等商业模型的开源图像编辑AI。该模型通过整合多模态语言理解和扩散图像生成技术,能够处理11种编辑任务,在新构建的GEdit-Bench基准测试中表现优异,为图像编辑技术的民主化开辟了新道路。
谷歌DeepMind和伦敦大学学院研究发现,大语言模型在面对反驳时会迅速失去信心并改变答案,即使反驳是错误的。研究显示LLM既会对自己的答案过度自信,又对批评异常敏感,表现出与人类相似但又独特的认知偏差。这种行为对多轮对话AI系统构成威胁,最新信息可能对LLM推理产生不成比例的影响。
BluOrion公司开发的ZClip是一种智能梯度裁剪算法,解决了大型语言模型训练中的梯度爆炸和损失飙升问题。通过Z分数统计检测和动态调整策略,ZClip能够自适应地控制梯度幅度,相比传统固定阈值方法提升训练效率35%以上,同时显著降低训练失败风险,为大模型训练提供了更稳定、高效的解决方案。