江西
F5最新報告指出,亞太地區 API 安全缺口持續擴大,亟需強化治理體系與韌性建設
新加坡,2025 年12月9日——F5(NASDAQ:FFIV)最新發布的研究報告《2025年戰略重點: 保障亞太地區代理式人工智能時代的API安全》,指出隨著代理式人工智能(Agentic AI)在亞太地區的加速落地,不安全的應用程序接口(API)正迅速擴大成為關鍵風險盲區。該報告深入探討了隨著AI應用加速普及,API在驅動亞太數字體驗的同時,安全威脅格局正被重塑。
目前,亞太地區超 80% 的企業通過 API 部署AI和機器學習模型。API已從簡單的數據連接器,演變成為關鍵執行載體,使代理式AI系統能夠感知環境、自主決策,并以機器速度自主執行操作。若缺乏強有力的安全防護、不當的權限配置或薄弱的治理機制,可能會引發大規模的非預期行為,甚至具有潛在破壞性。
盡管亞太地區63%的企業認為API安全對業務連續性、合規要求及 AI 轉型至關重要,但在治理和執行層面仍嚴重滯后。僅42%的企業表示具備成熟的API治理能力,而設立專門的 API安全職能部門的企業僅有22%。在中國市場,這一“戰略重要性遠超能力成熟度”的矛盾同樣顯著。盡管57%-61%的中國企業將API安全列為關鍵事項,但僅有39%-42%的企業表示自身的API安全能力已達到成熟水平。隨著代理式AI系統開始自主調用并執行API,這一執行差距正在被進一步放大,成為影響企業安全韌性的新隱患。
Twimbit創始人兼首席執行官Manoj Menon表示,“我們的研究顯示,亞太地區許多企業尚未具備與AI 普及速度和規模相匹配的API安全防護能力。企業普遍缺乏專門團隊、統一治理以及先進的安全能力,而這些能力缺口正在代理式AI時代迅速演變為戰略短板。想要彌補這些不足,企業必須強化治理體系,并在API全生命周期建立端到端的控制機制,以保障業務連續性、合規性及信任度。”
F5 亞太區首席技術官Mohan Veloo表示,“AI 智能體的高速自主能力要求將API安全嵌入業務運營底座。這意味著需要將治理、可視性及策略執行直接整合至API工作流,確保每一次無論是人為還是機器發起的交互均能經過實時認證、授權與監控。F5正助力亞太地區企業強化這些關鍵管控措施,使其能在不犧牲韌性與靈活性的前提下,自信地擴大AI應用規模。”
本報告的其他關鍵洞察包括:
●業務邏輯漏洞居API安全擔憂之首:三分之一的亞太地區企業將對敏感業務流的無限制訪問(OWASP API6)列為首要 API 安全風險。其他關鍵擔憂還包括資源消耗無限制(OWASP API4)及安全配置錯誤(OWASP API8)。超 30% 的企業指出,資源濫用及配置不當正在削弱其API層面的控制能力。這些漏洞一旦被利用,可能導致數字服務中斷、損害客戶信任,凸顯了加強API層面治理的迫切性。
●影子 API 與僵尸 API 形成治理盲點:超三分之一(36%)的企業將未記錄的影子API列為高風險威脅,但僅38%的企業具備有效的發現機制。這些未受治理的影子API與過時的僵尸API共同構成極易被利用的重大安全漏洞。
●應對準備不足,對關鍵API風險缺乏充分信心:盡管亞太地區企業普遍認識到API安全威脅的嚴重性,但運營層面的應對準備仍參差不齊。僅36%的企業表示針對大多數OWASP API安全風險做好充分準備,而仍有14%的企業仍處于初始準備階段。許多企業依然嚴重依賴傳統的邊界防護措施,如Web應用防火墻(51%)和身份和訪問權限管理解決方案(42%)。然而這些措施并不適用于治理動態且具有自主性的API交互。隨著AI采用普及加速,這一安全缺口正變得極具危險性。
從被動防護到韌性保障:代理式AI 的五大戰略重點
未來一年,69%的亞太地區企業預計API安全支出將出現中度至顯著增長,這表明API正日益成為董事會層面的優先事項。然而,要確保更大的預算能夠真正提升網絡韌性,而非導致分散的零散投入,統一的監督與治理至關重要。
為彌補可能影響AI轉型的治理缺口,F5建議企業聚焦以下五大戰略重點:
●明確高管層對端到端API治理的所有權:將分散在DevOps、安全及基礎設施團隊的治理職責整合為統一治理機制,使API策略與企業AI、風險管理及轉型戰略保持一致。
●優先推進發現、配置、運行及測試全生命周期控制:實施全面的API安全解決方案,包括自動發現、訪問范圍與速率限制的策略管理、運行時威脅檢測及部署前后的安全測試。
●將智能體感知可視性嵌入API流量監控:部署能夠檢測自主行為模式、記錄上下文操作,并支持人機活動實時可追溯的系統。
●在人工與智能體API使用中統一執行基于OWASP的策略:實施運行時控制,用于功能級授權和配置錯誤檢測,確保無論是人類用戶還是 AI 智能體訪問API,均能實現一致的安全策略執行。
●通過治理架構將API行為與智能體意圖及業務成果關聯:明確界定自主系統可執行的行為邊界、適用條件,并建立適當的監督機制,將智能代理行為與企業業務策略緊密關聯。
為評估代理式AI時代的亞太地區 API 安全現狀,F5委托Twimbit 于 2025 年上半年開展調研,覆蓋來自安全、DevOps、SecOps及應用開發等多個領域的1000 名專業人士。受訪者分布于 10 個亞太市場:澳大利亞、中國大陸、印度、印度尼西亞、日本、韓國、馬來西亞、新西蘭、新加坡及中國臺灣地區。
如需了解報告及研究發現的更多詳情,請點擊此處下載《2025年戰略重點: 保障亞太地區代理式人工智能時代的API安全》報告。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
