隨著代理式人工智慧(Agentic AI)在亞太地區的快速普及,API安全正出現重大盲點。根據F5最新發布的《2025年策略要務報告:亞太區代理式AI時代保護API安全》2025 Strategic Imperatives:Securing APIs for the Age of Agentic AI in APAC,AI的快速採用正在重塑API威脅態勢,而API持續驅動著該地區的數位體驗。
目前超過80%的亞太企業已透過API來部署AI與機器學習模型。從過去單純的資料連接介面,API已演變為關鍵的執行介面,使代理式人工智慧系統能夠即時感知環境、做出決策並自動執行動作。然而,若缺乏完善的安全防護,權限設定錯誤或治理機制薄弱,可能導致大規模、非預期甚至具破壞性的行為發生。
儘管企業普遍意識到風險之高,有63%的亞太企業認為API安全對「營運持續性、法規遵循與AI轉型」極為重要,但實際執行仍明顯落後。僅有42%的企業具備成熟的API治理能力,更只有22%成立了專責的API安全部門。這導致安全控管執行不一致,監督出現漏洞,使企業暴露於更高的營運與法規風險之中。
Twimbit創辦人暨執行長Manoj Menon表示,研究顯示,許多亞太企業尚未具備完備能力,以AI採用的速度與規模來保護API。他們往往缺乏專責團隊、一致的監管機制與進階防護能力,而這些缺口在代理式AI時代迅速演變為策略性弱點。要彌補這些不足,必須建立更強的治理架構與端到端的全生命週期控管,以確保永續的營運、法規遵循與信任。
F5亞太暨日本區技術長Mohan Veloo進一步指出,AI代理的運作速度與自主性,要求API安全必須內建於企業營運基礎中。這意味著必須將治理、可視性與政策強制納入API工作流程,確保無論是人為或機器的所有互動,都能即時完成身分驗證、授權與監控。F5正協助亞太區企業強化這些控管機制,讓他們能在不犧牲韌性與敏捷度的前提下,自信地擴大AI應用。
《2025年亞太區API安全報告》其他重點發現包括:
- 業務邏輯漏洞成為API安全首要隱憂:三分之一的亞太企業指出,不受限存取敏感商務流程(OWASP API6)是最主要的API安全風險。其他主要風險包括不受限的資源消耗(OWASP API4)與安全組態錯誤(OWASP API8)。超過30%的受訪者表示,過度的資源使用與錯誤配置削弱了API層的控制能力。若遭受攻擊,這些漏洞可能導致數位服務中斷並損害客戶信任,凸顯加強API層級治理的急迫性。
- 影子API與殭屍API造成治理盲區:超過三分之一(36%)的企業認為未登錄的 影子API是高風險威脅,但僅有38%擁有有效的發現機制。這些未受治理的影子API以及過時的殭屍API,形成容易被攻擊者利用的安全漏洞。
- 整體防備度偏低,企業對關鍵API風險信心不足:儘管亞太企業普遍認知到API安全威脅的嚴重性,但整體防備準備仍不一致。僅36%的企業對主要OWASP API風險具備進階防禦準備,而仍有14%處於初始階段。許多企業仍嚴重依賴傳統的邊界防護措施,如Web應用防火牆(51%)與身分與存取管理(42%),但這些機制無法有效管理動態且自動化的API互動,使安全防線出現危險缺口,尤其在AI應用加速推進之際。