F5 最新報告:亞太區 API 安全缺口日益擴大,立即強化治理與韌性當務之急
文/F5
隨著代理式人工智慧(Agentic AI)在亞太地區的快速普及,API安全正出現重大盲點。根據F5最新發布的《2025 年策略要務報告:亞太區代理式 AI 時代保護 API 安全》(2025 Strategic Imperatives: Securing APIs for the Age of Agentic AI in APAC),AI 的快速採用正在重塑 API 威脅態勢,而 API 持續驅動著該地區的數位體驗。
目前超過 80% 的亞太企業已透過 API 來部署 AI 與機器學習模型。從過去單純的資料連接介面,API 已演變為關鍵的執行介面,使代理式人工智慧系統能夠即時感知環境、做出決策並自動執行動作。然而,若缺乏完善的安全防護,權限設定錯誤或治理機制薄弱,可能導致大規模、非預期甚至具破壞性的行為發生。
儘管企業普遍意識到風險之高,有 63% 的亞太企業認為 API 安全對「營運持續性、法規遵循與 AI 轉型」極為重要,但實際執行仍明顯落後。僅有 42% 的企業具備成熟的 API 治理能力,更只有 22% 成立了專責的 API 安全部門。這導致安全控管執行不一致,監督出現漏洞,使企業暴露於更高的營運與法規風險之中。
Twimbit 創辦人暨執行長 Manoj Menon 表示,「研究顯示,許多亞太企業尚未具備完備能力,以 AI 採用的速度與規模來保護 API。他們往往缺乏專責團隊、一致的監管機制與進階防護能力,而這些缺口在代理式AI時代迅速演變為策略性弱點。要彌補這些不足,必須建立更強的治理架構與端到端的全生命週期控管,以確保永續的營運、法規遵循與信任。」
F5 亞太暨日本區技術長 Mohan Veloo 進一步指出:「AI 代理的運作速度與自主性,要求 API 安全必須內建於企業營運基礎中。這意味著必須將治理、可視性與政策強制納入 API 工作流程,確保無論是人為或機器的所有互動,都能即時完成身分驗證、授權與監控。F5 正協助亞太區企業強化這些控管機制,讓他們能在不犧牲韌性與敏捷度的前提下,自信地擴大 AI 應用。」
報告其他重點發現包括:
- 業務邏輯漏洞成為 API 安全首要隱憂:三分之一的亞太企業指出,不受限存取敏感商務流程(OWASP API6)是最主要的 API 安全風險。其他主要風險包括不受限的資源消耗(OWASP API4)與安全組態錯誤(OWASP API8)。超過 30% 的受訪者表示,過度的資源使用與錯誤配置削弱了 API 層的控制能力。若遭受攻擊,這些漏洞可能導致數位服務中斷並損害客戶信任,凸顯加強 API 層級治理的急迫性。
- 影子 API與殭屍API造成治理盲區:超過三分之一(36%)的企業認為未登錄的 影子API 是高風險威脅,但僅有 38% 擁有有效的發現機制。這些未受治理的影子 API 以及過時的 殭屍 API,形成容易被攻擊者利用的安全漏洞。
- 整體防備度偏低,企業對關鍵API風險信心不足:儘管亞太企業普遍認知到 API 安全威脅的嚴重性,但整體防備準備仍不一致。僅 36% 的企業對主要 OWASP API 風險具備進階防禦準備,而仍有 14% 處於初始階段。許多企業仍嚴重依賴傳統的邊界防護措施,如 Web 應用防火牆(51%)與身分與存取管理(42%),但這些機制無法有效管理動態且自動化的 API 互動,使安全防線出現危險缺口,尤其在 AI 應用加速推進之際。
從被動防禦走向韌性治理:代理式 AI 時代的五大策略要務
未來一年內,69% 的亞太企業預期將大幅提升 API 安全預算,顯示 API 安全正成為企業高層的關注焦點。然而,若缺乏統一監管,增加的預算恐導致資源分散、成效不彰,難以真正提升整體資安韌性。
為了縮小治理缺口,避免影響 AI 轉型進程,F5 建議企業聚焦以下五大策略方向:
- 建立 C-level 層級的 API 治理責任制度:打破 DevOps、安全與基礎架構團隊之間的分散監管,建立統一的治理架構,確保 API 政策與企業 AI、風險與轉型策略一致。
- 優先落實涵蓋「發現、狀態、執行階段與測試」的全生命週期控管:建立完善的 API 安全防護機制,內容應包括自動化 API 探索、存取範圍與速率限制等安全狀態政策、執行階段的威脅偵測,以及部署前後的安全測試。
- 將「代理感知」能力納入 API 流量監控:建置能偵測自主行為模式、記錄情境化操作,並實現人機行為即時可追蹤的系統。
- 依據 OWASP 標準,在人爲與AI代理的API使用情境中一致執行安全政策:建立執行階段控管機制,確保功能層級的授權與設定錯誤偵測能一致套用,無論 API 是由人員或 AI 代理所存取皆可確保安全性。
- 將 API 行為與代理意圖及業務結果連結至治理架構:明確界定智能代理可執行的操作範圍、條件與監督機制,確保其行為符合企業政策與商業目標。
本次研究由 Twimbit 受 F5 委託於 2025 年上半年進行,調查對象涵蓋來自亞太區的澳洲、中國、印度、印尼、日本、韓國、馬來西亞、紐西蘭、新加坡及台灣等 10 個區域, 1,000 位專業人士,包含資安、DevOps、SecOps 與應用開發等領域。
