為了評估亞太地區在Agentic AI時代的API安全現狀,F5委託Twimbit機構訪問1,000名專業人士,每組100名,涵蓋安全、DevOps、SecOps和應用開發等各個領域。這項調查結果提供對於新興API安全需求的策略視角,分析代理式AI如何重塑整個地區的風險缺口、治理模式和控制重點。
在2024年,F5發布了《策略洞察:亞太地區API安全》,這是一份首創的區域報告,探討亞太地區企業如何應對日益嚴重的API安全問題。該研究揭示了所有權分散、運行時可觀測性有限,以及對存取控制和速率限制等基礎防護機制的過度依賴等持續存在的挑戰。
2025年為了評估亞太地區在代理人工智慧(Agentic AI)時代的API安全現狀,F5委託Twimbit機構訪問1,000名專業人士,每組100名,涵蓋安全、DevOps、SecOps和應用開發等各個領域,分布在亞太地區的十個國家。這項第三方平台線上進行的調查結果,提供對於新興API安全需求的策略視角,分析代理式AI如何重塑整個地區的風險缺口、治理模式和控制重點。
F5更深入地關注AI如何重塑API威脅格局。今年的主題為《2025年戰略要務:亞太區代理式人工智慧時代的API安全》,探討了自主系統、代理行為和人工智慧驅動的應用邏輯,如何以超越傳統API安全策略適應能力的速度擴大攻擊面。
根據調查發現,近65%的企業認為API安全對於合規與創新至關重要,但僅有約41%至45%表示已具備成熟的治理能力。這反映出多數企業雖意識到API安全的重要性,但在治理實務與組織整合上仍存在落差。
當自主代理(Autonomous Agents)開始透過API自行決策與執行任務時,這種落差可能進一步放大安全風險,也使得API成為企業AI策略中最須重新審視的基礎環節之一。
以下是從亞太調查觀察企業在代理式AI時代的治理現況:
API安全是營運與合規的基礎,但治理責任仍分散
研究顯示,63%的亞太企業認為API安全對業務營運影響極為重大,並視其為推動數位轉型與法規遵循的關鍵驅動力。然而,在組織實務上,僅有22%的企業設有專責API安全部門。其餘大多由開發、安全營運、雲端及數位團隊共同負責,導致政策分散、權限邊界不清。
此外,僅有不到半數企業具備進階的安全機制或流程,約一成仍處於初始階段。研究指出,隨著API部署規模擴大,傳統邊界防護與靜態驗證已難以應對日益複雜的分散式環境。
值得注意的是,代理式AI的興起正在放大這些挑戰。自主代理可透過API執行操作並改變系統狀態,若缺乏完善的治理機制,權限錯置與策略繞過將在自動化環境中成為高風險問題。API逐漸演變為營運治理與風險控管的核心議題。
API成長速度遠超過安全控管成熟度
API的使用情境正快速擴張。調查發現,超過80%的企業已透過API部署AI或機器學習模型。在應用結構上,內部系統API占比達40%,合作夥伴API占31%,行動應用與市集API更高達85%。這顯示API已深度滲入企業營運架構與生態鏈整合之中。
然而,這樣的成長速度也帶來控管挑戰。在主要安全領域中,僅有:
‧38%的企業具備運行時防護(Runtime Protection)能力
‧36%具備存取控制(Access Control)強度
‧30%擁有完善的態勢管理(Posture Management)機制
外部API和應用間API的存取控制問題日益嚴重
外部使用者和應用程式間存取是主要問題,分別有38%和34%的受訪者將其評為高度擔憂。OAuth/OIDC被廣泛採用,但執行不一致,儘管40%的受訪者認為其實施非常有效,但仍有三分之一的受訪者表示存在合規性問題。
應用間控制的可信度最低,超過15%的受訪者將其評為最低效,凸顯了微服務和自主代理環境中的風險。
這些數據顯示,企業的安全控制能力普遍落後於API的應用速度。尤其在偵測層面,僅有31%的企業認為能有效偵測殭屍(Zombie)或影子(Shadow)API,意味仍有大量未受管理的接口處於暴露狀態。
研究同時發現,邏輯層風險正快速取代傳統邊界威脅。依據最新OWASP API排名,API6(邏輯層漏洞)成為最常見的重大風險,其次為API4(不安全設計)與API8(弱化身分驗證)。這些漏洞往往源自應用邏輯與權限設計,而非網路層防護失效。
OWASP準備度較低,授權和存取控制方面存在漏洞
WAF和IAM工具的使用率最高,分別為51%和42%,顯示企業主要依賴邊界安全和基於身分的安全措施。
API閘道的使用率較低,僅38%,顯示在動態環境中細粒度的安全執行能力有限。自適應方法的使用率仍然很低,僅有29%的企業部署AI或ML進行檢測,27%的企業使用自動化測試,這表明企業在左移整合方面存在不足。
代理式AI讓API成為企業的「控制平面」
調查指出,代理式AI的出現,讓API從技術接口轉變為實際的「控制平面(Control Plane)」。代理AI透過API進行感知、判斷與行動,能自動觸發交易、調整庫存,甚至重新導向業務流程。這樣的運作方式帶來效率,也增加了治理的複雜性。
目前僅有27%至32%的企業採用自動化測試或AI驅動的偵測工具,顯示多數組織在應對代理帶來的治理需求上仍處於早期階段。少於四成的企業具備防禦邏輯層攻擊(如OWASP API5、API6)的準備,代表代理行為與企業控制之間仍存在明顯落差。
從研究報告中,發現了三個重要的趨勢:
1.控管機制需整合生命週期觀點:從API發現(Discovery)、運行時保護(Runtime Protection),到汰除(Deprecation),安全治理應形成閉環。
2.代理感知(Agent-Aware)架構成為新趨勢:企業須設計可稽核(Auditable)的行動邊界與權限角色,確保自主代理在合規範圍內運作。
3.即時可觀測性的重要性提升:傳統監控缺乏行為脈絡,未來須能記錄代理操作、關聯業務成果,以支撐審計與合規需求。 整體而言,代理式AI正推動企業將API治理從傳統的安全防護,轉向策略層面的運行管理。治理不再僅是防止攻擊,而是確保代理行為與企業意圖、風險容忍度之間維持一致性。
研究啟示:從防護轉向治理的結構性變革
本次研究顯示,API安全正快速成為企業AI策略中的關鍵一環,但其治理成熟度仍未與應用成長速度匹配。分散的責任架構、低自動化程度,以及邏輯層防護不足,是亞太企業面臨的共同課題。
當AI系統愈來愈依賴API來執行決策,「API不再只是技術接口,而是企業控制與合規的核心樞紐」。未來的安全框架,將更強調:
‧API與代理行為的關聯可觀測性
‧橫跨開發、安全與營運團隊的治理一致性。
‧以生命週期為中心的整合式控管
從這些趨勢可看出,企業的挑戰不僅是防護漏洞,更是如何在開放的AI生態中,建立具延展性、可審計且策略對齊的API治理體系。