文/Thales
Thales 集團發表了 《2025年Imperva惡意機器人報告》 ,這是一份對網際網路上自動化機器人流量的全球分析報告。今年的報告是該系列的第12次年度研究,報告顯示,生成式人工智慧(AI)正在革新機器人的開發,使得技術能力不高的攻擊者也能夠更頻繁地發動更高數量的機器人攻擊。如今,在不斷壯大的「機器人即服務」(BaaS)商業化機器人服務生態系統中,攻擊者還利用AI仔細研究他們失敗的攻擊嘗試,並不斷改進技術,以更高的效率規避安全措施。
十年來,自動化機器人流量首次超過了人類產生的流量,在2024年占所有網路流量的51%。這一改變在很大程度上歸因於AI和大型語言模型(LLM)的興起,它們讓惡意機器人的建立和規模擴大變得更為容易。隨著AI工具越來越容易取得,網路犯罪分子越來越多地利用這些技術來建立和部署惡意機器人,目前惡意機器人產生的流量占所有網際網路流量的37%——相較2023年的32%有了顯著成長。這是惡意機器人活動連續第六年成長,給致力於保護其數位資產的企業帶來了安全挑戰。
旅遊和零售業都面臨著嚴重的進階機器人問題,惡意機器人產生的流量分別占各自產業流量的41%和59%。2024年,旅遊業成為受攻擊最嚴重的產業,占所有機器人攻擊的27%,高於2023年的21%。2024年最顯著的變化是針對旅遊業的進階機器人攻擊有所下降(從2023年的61%降至41%),而簡單機器人攻擊則急劇增加(從34%升至52%)。這一變化顯示,AI驅動的自動化工具降低了攻擊者的進入門檻,使得技術能力不高的攻擊者也能夠發起更多的簡易機器人攻擊。網路犯罪分子不再僅僅依賴複雜的技術,而是越來越多地使用大量更簡單的機器人攻擊來癱瘓旅遊網站的服務,導致攻擊更加頻繁和廣泛。
AI驅動機器人的興起:網路安全挑戰的新時代
包括ChatGPT、ByteSpider Bot、ClaudeBot、Google Gemini、Perplexity AI和Cohere AI等先進AI工具的出現,不僅改變了使用者對話模式,也改變了攻擊者實施網路威脅的手段。據Imperva威脅研究團隊稱,廣泛使用的AI工具正被用於網路攻擊,僅ByteSpider Bot就占所有由AI驅動的攻擊的54%。其他主要的攻擊者還包括占26%的AppleBot、占13%的ClaudeBot和占6%的ChatGPT User Bot。
Thales應用程式安全總經理Tim Chang表示:「AI驅動的機器人數量的激增對全球企業都具有嚴重的影響。隨著自動化流量占所有網路活動的一半以上,企業面臨著來自惡意機器人的更高風險,而惡意機器人的數量每天都在增加。」
隨著攻擊者越來越擅長使用AI,他們能夠實施各種網路威脅,從分散式阻絕服務(DDoS)攻擊到利用自訂規則以及違反API規定等。由機器人驅動的攻擊變得越來越複雜,而它們也給偵測工作帶來了巨大挑戰。
Chang表示:「今年的報告揭示了機器人攻擊者不斷演變的策略和技術。曾經被認為是先進的規避方法,現在已成為許多惡意機器人的標準做法。在這個快速變化的環境中,企業必須調整他們的策略。關鍵是要採取適應性強且積極主動的方法,利用複雜的機器人偵測工具和全面的網路安全管理解決方案,來建構一道能夠抵抗不斷變化的機器人相關威脅的堅固防線。」
針對API業務邏輯的惡意機器人對現代企業構成更大威脅
Imperva威脅研究團隊的最新發現顯示,針對API的攻擊大幅增加,44%的進階機器人流量都針對API。這些攻擊不僅僅侷限於使API端點不堪重負,而是針對定義API如何運行的複雜業務邏輯。攻擊者部署專門設計的機器人來利用API工作流程中的漏洞,進行自動化支付詐騙、帳戶劫持和資料竊取。
報告中的分析揭示了網路攻擊者有預謀地利用管理敏感和高價值資料的API端點的策略。這一趨勢對那些依賴API進行關鍵營運和交易的產業影響尤其重大。金融服務、醫療保健和電子商務產業首當其衝地承受著這些複雜的機器人攻擊,使它們成為試圖竊取敏感資訊的惡意行為者的主要目標。
API是現代應用程式的支柱,它實現了服務之間的連接,簡化了操作,並大規模地提供個人化的客戶體驗。它們支撐著諸如支付處理、供應鏈管理和AI驅動的分析等基本功能,對於提高效率、加快產品開發和開闢新的收入來源來說不可或缺。
Chang表示:「API提供強大的的業務邏輯處理能力,但它也創造了惡意行為者可利用的獨特漏洞。隨著企業採用雲端服務架構和微服務架構,必須體認到,利用API強大邏輯處理能力的同時,也可能使它們承受更容易受到詐騙和資料外洩的風險。」
金融服務、醫療保健和電子商務產業面臨更高風險
《2025年Imperva惡意機器人報告》進行了深入分析,突顯了風險最高的產業。金融服務、醫療保健和電子商務是受影響最嚴重的產業,這些產業依賴API進行關鍵操作和敏感交易,這使它們成為複雜機器人攻擊的誘人目標。
金融服務行業是帳戶接管(ATO)攻擊的頭號目標產業,占所有此類事件的22%,其次是電信和網際網路服務提供者(ISP),占18%,以及電腦與IT產業,占17%。長期以來,由於帳戶價值高且所涉及的資料性質敏感,金融服務行業一直是ATO攻擊的主要目標。銀行、信用卡公司和金融科技平台擁有大量的個人身分資訊(PII),包括信用卡和銀行帳戶詳細資訊,這些資訊在暗網上可以賣得高價。此外,該產業內API的日益普及擴大了攻擊面,使網路犯罪分子能夠利用諸如弱身分驗證和授權方法等漏洞,從而便於進行帳戶接管和資料竊取。
