人工智慧的快速發展正將應用程式介面(API)推向企業資安攻防的核心,由於AI系統大量消耗API並加速其數量增長,傳統安全工具已不足以應對AI驅動下的新型威脅,迫使企業必須透過整合資安策略、強化治理與跨部門協作來因應。
隨著人工智慧(AI)技術快速演進,企業內部應用程式介面(API)已從過去的後端技術連接器,一躍成為現代企業基礎架構中最為關鍵但也充滿風險的環節。AI工具的普及正導致API數量呈爆炸性成長,使資安團隊難以有效盤點、監控及管理,傳統資安防護措施面臨巨大壓力。
根據資安智庫 CyberRisk Collaborative 的一份報告,現今雲端服務、AI系統與自動化工作流程的核心,皆由API驅動。報告指出,企業併購後繼承的系統、未經記錄的端點以及缺乏活躍所有權的「殭屍API」,均為駭客提供了隱蔽的攻擊面。該智庫成員普遍認為,AI大幅加劇了API的風險:大型語言模型應用程式本質上就是API驅動的,AI系統本身也大量消耗API,且AI工具讓任何人都能創建整合與自動化工作流程,繞過傳統的資安審查流程,導致端點與連接數量激增,超出企業治理能力,進而增加資料外洩和未經授權存取的機會。
資安專家強調,API安全已不僅是技術問題,更涉及組織文化層面。治理失靈、權責不明以及部門之間的落差,往往會帶來比技術本身更大的風險。由於API可能由開發團隊、DevOps團隊、基礎架構團隊和資安維運團隊共同管理,導致職責劃分不清。部分參與者提到,透過實施「綠燈計畫」(green-light development programs),鼓勵團隊展現良好的資安實踐,以換取更快速的審批和簡化的審查流程,試圖改善跨部門協作。
傳統的應用程式安全工具對於現代API威脅往往力有未逮。常見的掃描工具或許能偵測到低階設定錯誤,但經常錯過授權缺陷、資料外洩、速率限制或工作流程濫用等業務邏輯漏洞,而這些正是導致許多實際API漏洞入侵事件的主因。為緩解這些問題,資安業者建議採用分層防禦策略,整合靜態應用程式安全測試(SAST)、動態應用程式安全測試(DAST)、模糊測試(fuzz testing)、結構描述驗證(schema validation)、執行期閘道(runtime gateways)以及API專屬安全測試。然而,部分專家也坦承,即使是先進的工具,仍難以完全理解API行為的上下文關聯。
此外,AI驅動的攻擊能力正在顯著縮短資安響應時間。例如,Anthropic 開發的模型 Claude Mythos Preview,能比常規修復流程更快地發現漏洞並找出攻擊路徑,迫使企業將針對關鍵的外部漏洞修復時間從數週縮短至數天甚至數小時。但同時,與會者也警告,自動化AI安全工具並不完美,仍可能出現不可預測的行為或中斷生產環境。因此,API安全的未來將取決於如何平衡自動化與人為監督。企業必須將持續可視性、治理、分層測試、AI輔助防禦以及跨職能協作,整合成統一的維運策略,以適應日益由AI驅動的威脅環境。
