12月9日消息，全球應用交付和應用安全領導者F5最新發(fā)布的研究報告《2025年戰(zhàn)略重點： 保障亞太地區(qū)代理式人工智能時代的API安全》，指出隨著代理式人工智能（Agentic AI）在亞太地區(qū)的加速落地，不安全的應用程序接口（API）正迅速擴大成為關鍵風險盲區(qū)。該報告深入探討了隨著AI應用加速普及，API在驅動亞太數字體驗的同時，安全威脅格局正被重塑。

目前，亞太地區(qū)超 80% 的企業(yè)通過 API 部署AI和機器學習模型。API已從簡單的數據連接器，演變成為關鍵執(zhí)行載體，使代理式AI系統能夠感知環(huán)境、自主決策，并以機器速度自主執(zhí)行操作。若缺乏強有力的安全防護、不當的權限配置或薄弱的治理機制，可能會引發(fā)大規(guī)模的非預期行為，甚至具有潛在破壞性。

盡管亞太地區(qū)63%的企業(yè)認為API安全對業(yè)務連續(xù)性、合規(guī)要求及 AI 轉型至關重要，但在治理和執(zhí)行層面仍嚴重滯后。僅42%的企業(yè)表示具備成熟的API治理能力，而設立專門的 API安全職能部門的企業(yè)僅有22%。在中國市場，這一“戰(zhàn)略重要性遠超能力成熟度”的矛盾同樣顯著。盡管57%-61%的中國企業(yè)將API安全列為關鍵事項，但僅有39%-42%的企業(yè)表示自身的API安全能力已達到成熟水平。隨著代理式AI系統開始自主調用并執(zhí)行API，這一執(zhí)行差距正在被進一步放大，成為影響企業(yè)安全韌性的新隱患。

該報告的其他關鍵洞察包括：

? 業(yè)務邏輯漏洞居API安全擔憂之首：三分之一的亞太地區(qū)企業(yè)將對敏感業(yè)務流的無限制訪問（OWASP API6）列為首要 API 安全風險。其他關鍵擔憂還包括資源消耗無限制（OWASP API4）及安全配置錯誤（OWASP API8）。超 30% 的企業(yè)指出，資源濫用及配置不當正在削弱其API層面的控制能力。這些漏洞一旦被利用，可能導致數字服務中斷、損害客戶信任，凸顯了加強API層面治理的迫切性。

? 影子 API 與僵尸 API 形成治理盲點：超三分之一（36%）的企業(yè)將未記錄的影子API列為高風險威脅，但僅38%的企業(yè)具備有效的發(fā)現機制。這些未受治理的影子API與過時的僵尸API共同構成極易被利用的重大安全漏洞。

? 應對準備不足，對關鍵API風險缺乏充分信心：盡管亞太地區(qū)企業(yè)普遍認識到API安全威脅的嚴重性，但運營層面的應對準備仍參差不齊。僅36%的企業(yè)表示針對大多數OWASP API安全風險做好充分準備，而仍有14%的企業(yè)仍處于初始準備階段。許多企業(yè)依然嚴重依賴傳統的邊界防護措施，如Web應用防火墻（51%）和身份和訪問權限管理解決方案（42%）。然而這些措施并不適用于治理動態(tài)且具有自主性的API交互。隨著AI采用普及加速，這一安全缺口正變得極具危險性。

為彌補可能影響AI轉型的治理缺口，F5建議企業(yè)聚焦以下五大戰(zhàn)略重點：

? 明確高管層對端到端API治理的所有權：將分散在DevOps、安全及基礎設施團隊的治理職責整合為統一治理機制，使API策略與企業(yè)AI、風險管理及轉型戰(zhàn)略保持一致。

? 優(yōu)先推進發(fā)現、配置、運行及測試全生命周期控制：實施全面的API安全解決方案，包括自動發(fā)現、訪問范圍與速率限制的策略管理、運行時威脅檢測及部署前后的安全測試。

? 將智能體感知可視性嵌入API流量監(jiān)控：部署能夠檢測自主行為模式、記錄上下文操作，并支持人機活動實時可追溯的系統。

? 在人工與智能體API使用中統一執(zhí)行基于OWASP的策略：實施運行時控制，用于功能級授權和配置錯誤檢測，確保無論是人類用戶還是 AI 智能體訪問API，均能實現一致的安全策略執(zhí)行。

? 通過治理架構將API行為與智能體意圖及業(yè)務成果關聯：明確界定自主系統可執(zhí)行的行為邊界、適用條件，并建立適當的監(jiān)督機制，將智能代理行為與企業(yè)業(yè)務策略緊密關聯。（宜月）