重點摘要

• API 安全事件持續增加：過去一年內，有 87% 的企業遭遇 API 安全事件，較2022 年的 76% 上升。

• AI 與事件相關：42% 的事件涉及與 AI 技術（如大型語言模型LLM 及自主代理人）連結的API。

• 可視性急遽下降：在號稱擁有「完整」API 清單的企業中，僅有 23% 實際知道哪些 API 會回傳敏感資料。

• 存在信心落差：高階主管對其 API 測試成熟度的樂觀程度，遠高於實際執行工作的 DevSecOps 團隊。

• 財務影響重大：前四分之一的頂尖企業，每年因 API 相關外洩事件損失超過 180 萬美元。

資安專業人員面臨的嚴峻現實

Akamai 最新《API安全影響研究》的結果，揭露了資安專業人員正面臨的嚴峻現實。儘管近年來關於惡意API、影子 API、殭屍 API及相關漏洞的警告，已促使企業投資於 API安全，但許多公司仍難以跟上威脅的腳步。在急於搶佔 AI 新技術優勢的過程中，企業無意間創造了一個龐大且未被記錄的攻擊面，傳統防禦措施不僅無法看見，更遑論加以防護。

2026 年《Akamai API 安全影響研究》訪問了全球 10 個國家、1,840 位資安領導者與從業人員，結果顯示 API
的成長速度已超越企業的防禦能力。全球企業目前平均管理約 5,900 個API，但其防禦能力卻正在惡化。

這不僅是技術上的失誤，更是系統性的治理失敗，平均每家企業每年因此損失 70 萬美元。更令人擔憂的是，成本仍在上升。2024年的研究
顯示平均損失為 59 萬美元。

所幸，企業已開始理解 API 風險。例如，近 80% 的企業將 API 安全列為前三大資安優先事項；三分之二的受訪者表示，過去一年對 API安全的關注度有所提升；超過半數（52%）將 API 安全事件列為影響網路韌性的前五大網路威脅。

然而，安全團隊仍難以因應 API 的快速擴張。

巨大的斷層：為什麼 WAF 不夠用

多年來，企業將 API安全視為網頁應用程式防火牆（WAF）要求清單上的一項形式合規項目。WAF原本設計用來阻擋如 SQL 注入等「惡意特徵」，但現代的 API攻擊屬於「低緩慢速」攻擊，使用合法的憑證與協定結構來執行非法行為。

傳統的網頁安全將 API 視為使用者介面（UI）的次要項目。但在 AI 驅動的世界中，API就是業務本身。

研究顯示，雖然 80% 的公司使用 WAF，但僅有 35% 使用專門的 API 安全工具。這種對傳統邊界防護的依賴，在「物件層級授權中斷」（BOLA）與業務邏輯濫用方面留下了巨大的漏洞。攻擊者不再試圖破壞程式碼，而是單純要求 API 執行非預期的操作——而 WAF 卻允許這些未經授權的流量。

事實上，BOLA 攻擊往往是配置錯誤所致，例如不安全的直接物件參考或過度依賴用戶端檢查。考慮到半數受訪企業表示，他們對於處理配置錯誤僅有「略微到中等」的準備，這項問題尤其令人擔憂。

影子 API 的疫情與 AI 的加乘效應

看不見的東西就無法保護。影子API問題已達到臨界點。今年的數據顯示，雖然 77% 的受訪者聲稱擁有「完整的 API清單」，但對於 API 意圖的可視性已連續四年下降。

2022 年，有 40% 的企業知道哪些 API 會回傳敏感資料。如今，這個數字驟降至23%。攻擊者正利用 AI 來擴大這項可視性缺口。

隨著 2025 年企業在生成式 AI 上投資了 370 億美元，他們建立了數千個連接到LLM 的新連結。這些與 AI 連結的API，決定了模型可以存取哪些資料，以及可以觸發哪些動作。如果攻擊者透過提示注入（promptinjection）欺騙 AI，真正取得敏感資料的正是 API。

企業正開始理解這些風險。根據 2026 年研究，在過去一年中曾通報 API相關安全事件的資安專業人員裡，有 42% 表示這些事件涉及與 AI技術（如應用程式、代理人、LLM）連結的 API。

信心落差：領導階層的危機

2026年研究中最驚人的發現之一，是領導層認知與執行面現實之間的差距。受訪者被要求評估其組織內API測試的成熟度，分為三個層級：

1. 功能測試：驗證 API 是否如預期運作

2. 具備部分安全關注的測試：包含有限的安全性檢查

3. 進階測試：系統性評估 API 的漏洞與真實世界攻擊方法

此外，企業多年來已知，在軟體開發生命週期（SDLC）中進行測試，是縮小API 安全差距最重要的步驟之一。雖然認知差距不若安全差距那般懸殊，但仍然構成問題。

表格中顯示的差距表明，高階主管可能因為認為問題已經解決，而對 API安全投資不足。當 AI 部署的速度需求壓過安全性時，DevSecOps團隊會最先看到裂痕。高階主管的過度自信導致專用資源的缺乏：僅有六分之一的企業已將API 安全測試完全嵌入其 CI/CD 管道，這限制了預防濫用與攻擊的關鍵步驟。

現狀的真正代價

API 安全已不再只是 IT部門的考量，而是重大的業務風險。隨著攻擊者從竊取簡單資料轉向破壞核心業務邏輯，財務影響正在加劇。

最新研究揭示了 API 重大事件的嚴重性，包括：

• 平均年度成本：每家企業 70 萬美元

• 前四分之一企業的平均年度成本：超過 180 萬美元

• 成本的主要驅動因素：系統修復、停機時間、法律費用

在能源與公用事業等產業，平均成本更高達 86 萬美元。損失不僅限於財務面，還影響生產力。當 API遭到破壞，其所驅動的應用程式將停擺，導致大量內部摩擦與客戶信任流失。

近 80% 的企業已將 API 安全列為前三大資安優先事項，顯示資安領導者與從業人員對此認知日益清晰。

前進的新路徑：擺脫邊界思維

要在 AI 時代生存，資安專業人員不僅必須持續關注 API 漏洞，還需要轉變思維。我們不能再依賴靜態防禦，並期望所有 API 都已被記錄在案。企業必須調整策略，將 API 層列為優先事項，具體作法包括：

• 補足基礎可視性缺口

• 超越功能測試

• 正式建立 API 治理機制

補足基礎可視性缺口

停止依賴靜態試算表。需要持續、自動化的發現機制，能夠即時識別與 AI 連結的 API、影子 API 與殭屍 API。若不清楚哪些 API會接觸個人識別資訊（PII）或受HIPAA規範的資料，就可能失去客戶與監管機構的信任。

超越功能測試

功能測試僅能證明 APIN 以運作，無法證明其安全。企業必須轉向進階安全測試，在開發階段模擬真實世界的攻擊方法，例如憑證填充與BOLA 攻擊。

正式建立 API 治理機制

API 安全必須納入正式的合規報告與風險評估。雖然 95% 的企業表示已將 API 納入法規要求，但僅有 38% 將 API 納入強制報告。執行力必須與目標一致。

唯有 Akamai 能保護 AI 驅動的企業

AI 競賽已經展開，但強化基礎仍不嫌晚。Akamai 提供全球可視性與行為智慧，能在 API 濫用抵達來源伺服器之前，即時辨識並予以阻擋。透過將專門的 API 安全與全球網頁應用程式及 API 防護 相結合，確保您的 AI 創新建立在具韌性且安全的架構之上。

請閱讀完整報告，獲取您的同業在 AI 發展過程中如何應對 API 安全的基準數據。

下載報告

The API Weak Spot: Study Shows AI Is Compounding SecurityPressures