亚太超80%企业部署AI：F5研究报告揭示API应用现状

12月9日消息，全球应用交付与安全领导者F5最新发布的研究报告《2025年战略重点：保障亚太地区代理式人工智能时代的API安全》指出，随着代理式人工智能（Agentic AI）在亚太地区的加速落地，不安全的应用程序接口（API）正迅速扩大成为关键风险盲区。该报告深入探讨了随着AI应用加速普及，API在驱动亚太数字体验的同时，安全威胁格局也在被重塑。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

目前，亚太地区超过80%的企业通过API部署AI和机器学习模型。API已从简单的数据连接器，演变为关键执行载体，使代理式AI系统能够感知环境、自主决策，并以机器速度自主执行操作。若缺乏强有力的安全防护、不当的权限配置或薄弱的治理机制，可能会引发大规模的非预期行为，甚至具备潜在破坏性。

尽管亚太地区63%的企业认为API安全对业务连续性、合规要求及AI转型至关重要，但在治理和执行层面仍严重滞后。仅42%的企业表示具备成熟的API治理能力，而设立专门的API安全职能部门的企业仅有22%。在中国市场，这一“战略重要性远超能力成熟度”的矛盾同样显著。尽管57%-61%的中国企业将API安全列为关键事项，但仅39%-42%的企业表示自身的API安全能力已达到成熟水平。随着代理式AI系统开始自主调用并执行API，这一执行差距正在被进一步放大，成为影响企业安全韧性的新隐患。

该报告的其他关键洞察包括：

• 业务逻辑漏洞居API安全担忧之首：三分之一的亚太地区企业将对敏感业务流的无限制访问（OWASP API6）列为首要API安全风险。其他关键担忧还包括资源消耗无限制（OWASP API4）及安全配置错误（OWASP API8）。超过30%的企业指出，资源滥用及配置不当正在削弱其API层面的控制能力。这些漏洞一旦被利用，可能导致数字服务中断、损害客户信任，凸显了加强API层面治理的迫切性。

• 影子API与僵尸API形成治理盲点：超过三分之一（36%）的企业将未记录的影子API列为高风险威胁，但仅38%的企业具备有效的发现机制。这些未受治理的影子API与过时的僵尸API共同构成极易被利用的重大安全漏洞。

• 应对准备不足，对关键API风险缺乏充分信心：尽管亚太地区企业普遍认识到API安全威胁的严重性，但运营层面的应对准备仍参差不齐。仅36%的企业表示针对大多数OWASP API安全风险做好了充分准备，而仍有14%的企业仍处于初始准备阶段。许多企业依然严重依赖传统的边界防护措施，如Web应用防火墙（51%）和身份和访问权限管理解决方案（42%）。然而这些措施并不适用于治理动态且具有自主性的API交互。随着AI采用普及加速，这一安全缺口正变得极具危险性。

为弥合可能影响AI转型的治理缺口，F5建议企业聚焦以下五大战略重点：

• 明确高管层对端到端API治理的所有权：将分散在DevOps、安全及基础设施团队的治理职责整合为统一治理机制，使API策略与企业AI、风险管理及转型战略保持一致。

• 优先推进发现、配置、运行及测试全生命周期控制：实施全面的API安全解决方案，包括自动发现、访问范围与速率限制的策略管理、运行时威胁检测及部署前后的安全测试。

• 将智能体感知可视性嵌入API流量监控：部署能够检测自主行为模式、记录上下文操作，并支持人机活动实时可追溯的系统。

• 在人工与智能体API使用中统一执行基于OWASP的策略：实施运行时控制，用于功能级授权和配置错误检测，确保无论是人类用户还是AI智能体访问API，均能实现一致的安全策略执行。

• 通过治理架构将API行为与智能体意图及业务成果关联：明确界定自主系统可执行的行为边界、适用条件，并建立适当的监督机制，将智能代理行为与企业业务策略紧密关联。（宜月）