Akamai 研究发现，亚太地区 AI 加速发展，API 安全鸿沟日益凸显

随着亚太地区的企业纷纷采用 AI 优先策略，API 成为了主要攻击面

2026年 3月19日 -- 纵观亚太地区，各企业正竞相将人工智能嵌入从客户服务、财务管理到供应链自动化的核心数字服务中。然而，这种“AI 优先”的动力是建立在 API（应用程序编程接口）的基础之上，而 API 正遭受的攻击正日益增加。根据 Akamai 《互联网现状 (SOTI)：2026 年的应用、API 和 DDoS 防护》报告最新的亚太地区深入解析，这种日益增长的依赖性正在加大安全落差。尽管创新高歌猛进，但 API 安全成熟度却未能同步跟上，致使该地区数字化增长核心层的关键风险暴露无遗。这种落差带来的后果已在整个地区显现，当地企业反映已在财务与运营方面遭受显著影响。

光是在 2025 年，Akamai 就在亚太地区观察到将近 650 亿次 Web 应用程序和 API 攻击，与去年同期相比增加了 23%。Akamai 观察到全球每日 API 攻击次数达到三位数的增长，凸显出该地区的企业所面临压力的规模之大与持续性之强。此外，全球 87% 的受访企业也表示在 2025 年遭遇过一起 API 相关安全事件。

第 7 层 DDoS 攻击也呈现出显著增长态势，过去两年间在全球范围内激增 104%。与那些试图耗尽网络带宽的传统容量耗尽型攻击或“暴力破解”攻击不同，第 7 层攻击直接以处理用户请求的进程为目标。鉴于 API 同样运行于该层级，此类攻击可直接中断企业所依赖的数字服务与交易。

攻击的性质也在不断变化。在亚太地区，2025 年有 61% 的 API 攻击涉及未经授权的工作流和异常活动，显示出攻击手段正向业务逻辑滥用转变。这表示攻击者不再单纯恶意利用技术漏洞，而是逐渐转为以非预期的方式操纵应用程序。  例如，自动化交易、抓取数据或反复触发合法的 API 调用，以此来中断服务或耗尽昂贵的 AI 令牌。AI 驱动的爬虫程序越来越多地将 API 作为直接攻击目标，它们会伪装成合法流量并规避传统的防御机制。

零售与金融服务业依然是首要的攻击目标，因为这些行业严重依赖 API 来驱动数字支付与跨境服务。电信和高科技行业在扩大其API 驱动的产品范围时，也正面临日益增长的压力。

创新速度与安全成熟度

在亚太地区，企业推进数字化的意愿非常强烈，但风险因市场而异。在新加坡和日本等高度数字化的成熟经济体中，企业面临着更为严重的 API 蔓延问题。数量众多的 API 也造成攻击面急剧扩大，因为端点数量庞大会导致监测能力成为主要挑战。在越南和泰国等新兴数字经济体中，快速的数字化进程超越了保障其安全的防御手段与专业知识的积累速度。缺乏本地网络安全人才也是一大关键障碍，导致这些地区成为网络攻击的主要目标。

与此同时，AI 辅助的低代码开发（或“公民开发”）正在加快应用程序和 API 的构建速度。虽然 AI 帮助开发者以空前的速度交付代码，但这经常在无人监督的情况下，引入投产的配置错误或不安全的 API 默认设置。无论企业的数字化起点如何，最终结果都殊途同归：运行中的 API 数量激增、复杂性加剧；如果安全防护未能跟上步伐，这将为攻击者提供更多可乘之机。

Akamai 亚太地区及日本安全技术和战略总监 Reuben Koh 表示：“在整个亚太地区，AI 的应用正以史无前例的速度加速业务转型。然而，这种业务转型速度也导致治理落差快速扩大，迫使企业不得不重新审视自己的整体风险状况。企业必须优先构建更强大的运营治理体系，才能继续快速创新。他们还需要对 API 具备更清晰的监测能力，必须管理 AI 爬虫程序与智能体，需要实现全栈实时监控，并需要将安全性内建于从代码到运行时的整个应用程序中。未能做到这一点可能会导致大范围的运营中断、巨额的经济损失，以及客户信任度不断下降。”

此外，Reuben Koh补充：“如今，API 已不再只是将系统与数据相连，而是成为了企业数据架构中不可或缺的组成部分。随着自主 AI 系统日益深入地融入业务运营中，API 层的弹性将直接决定企业如何放心地扩展规模。在 AI 时代，巩固这些基础将成为每个企业维持长期业务增长的关键所在。”

作为已延续 12 年的系列报告，Akamai《互联网现状》报告持续提供关于网络安全趋势和 Web 性能的关键洞察。其洞察源自 Akamai 网络安全防护基础架构所观测到的攻击活动，该基础架构承载着全球相当大一部分网络流量。