近期,一场由第三方集成漏洞引发的供应链攻击引发行业热议:多家科技与网络安全企业相继证实,因 Salesforce 第三方应用 Drift 的 OAuth 令牌被盗,导致其 Salesforce 环境遭遇数据泄露。攻击者并未直接入侵 Salesforce 平台,而是利用被盗的 OAuth 令牌 —— 这一 API 授权的核心凭证,通过合法 API 接口访问客户数据,包括业务联系信息、内部文档等关键内容。此类攻击暴露出 API 安全的致命盲区:当第三方集成的令牌管理失控,API 将从连接工具沦为数据泄露的 "隐形通道"。
在当今数字化时代,API已然成为推动企业数字化转型与创新的关键力量。从移动端应用到边缘计算场景,API 广泛地支撑着各类服务的运行,促进了不同系统间的无缝协作。而在 AI 技术蓬勃发展的当下,API 的重要性更是与日俱增。Gartner 预测,到 2026 年,全球API 需求增长的 30% 以上将来自人工智能和使用大型语言模型的工具。API面临的安全风险也在不断攀升。根据调查,亚太地区85%的企业表示在过去12个月内至少经历过一起与API相关的安全事件。财务影响也同样令人担忧,在接受调查的市场中,解决API安全事件的平均估计成本超过58万美元。而在调查中,中国是唯一将“保护API免受攻击”列为网络安全第一要务的群体。
AI 驱动攻击激增,API 安全保护势在必行
根据Akamai的SOTI报告《2025年应用程序与 API 安全现状:AI如何改变数字格局》,亚太地区及日本遭受的 Web 应用程序攻击数量年同比增长了73%,使得该地区成为全球增幅最高的区域。这凸显了在人工智能快速发展和应用的大环境下,保护 Web 应用程序和 API 安全势在必行。
AI 技术增强了威胁检测和响应能力,正在改变 Web 应用程序和 API 的安全格局,同时也带来了新的安全挑战。据记录,2024 年,亚太地区及日本共遭受了 510 亿次 Web 应用程序攻击,相比 2023 年的 290 亿次,数量明显增加。攻击激增与 AI 应用程序的快速普及密切相关,它扩大了攻击面,增加了网络攻击的复杂性。
移动 + 边缘场景扩容 API 攻击面,“不可见性” 成核心安全盲区
随着移动应用、第三方集成和边缘端应用的兴起,API攻击面急剧扩大。移动端多样化的设备环境、复杂的第三方集成,以及边缘侧高度分布式的部署模式,使得 API 的运行和管理面临更强烈的实时性、动态性与异构性挑战。尤其在智能业务场景中,API 频繁交互用户敏感数据(如身份信息、位置、行为偏好等),一旦缺乏有效管控,极易形成安全盲区。
由于移动与边缘架构天然具有的分布式特性,API往往运行在传统安全边界之外,很多接口对安全团队来说是几乎不可见的,从而形成了被攻击者利用的盲点。缺乏可见性以及影子API和僵尸API的迅速扩散大大增加了风险。Akamai 的调查显示,拥有完整 API 清单并了解哪些 API 会交换敏感数据的参与者比例从 2023 年较低的 40% 进一步降至 2024 年的 27%。这意味着企业对自身 API 风险的可见性愈发不足,众多潜在的安全隐患难以被及时发现与应对。
三维应对策略筑牢 API 安全防线
面对如此严峻的 API 安全挑战,Akamai 建议企业采取以下策略来构建全面且有效的解决方案:
在 AI 时代,移动应用和边缘应用的 API 安全至关重要。企业只有充分认识到当前 API 安全面临的挑战,并借助专业合作伙伴的解决方案,从提升可见性、全生命周期防护以及灵活部署等多方面入手,才能有效地保护 API 安全,为企业的数字化转型与创新发展保驾护航。
好文章,需要你的鼓励
IBM Spyre加速器将于本月晚些时候正式推出,为z17大型机、LinuxONE 5和Power11系统等企业级硬件的AI能力提供显著提升。该加速器基于定制芯片的PCIe卡,配备32个独立加速器核心,专为处理AI工作负载需求而设计。系统最多可配置48张Spyre卡,支持多模型AI处理,包括生成式AI和大语言模型,主要应用于金融交易欺诈检测等关键业务场景。
加拿大女王大学研究团队首次对开源AI生态系统进行端到端许可证合规审计,发现35.5%的AI模型在集成到应用时存在许可证违规。他们开发的LicenseRec系统能自动检测冲突并修复86.4%的违规问题,揭示了AI供应链中系统性的"许可证漂移"现象及其法律风险。
意大利初创公司Ganiga开发了AI驱动的智能垃圾分拣机器人Hoooly,能自动识别并分类垃圾和可回收物。该公司产品包括机器人垃圾桶、智能盖子和废物追踪软件,旨在解决全球塑料回收率不足10%的问题。2024年公司收入50万美元,已向谷歌和多个机场销售超120台设备,计划融资300万美元并拓展美国市场。
这项由剑桥大学、清华大学和伊利诺伊大学合作的研究首次将扩散大语言模型引入语音识别领域,开发出Whisper-LLaDA系统。该系统具备双向理解能力,能够同时考虑语音的前后文信息,在LibriSpeech数据集上实现了12.3%的错误率相对改进,同时在大多数配置下提供了更快的推理速度,为语音识别技术开辟了新的发展方向。