API网络安全将像乒乓球一样，在人工智能辅助的攻击者和人工智能辅助的防御者的球拍之间来回拍打。

应用程序编程接口 (API) 对于互联网络世界的运行至关重要。“API 已成为现代技术的连接纽带，并融入了我们整个数字世界，”Black Duck 高级网络安全解决方案架构师 Chrissa Constantine 解释道。“最近的一些估计表明，大约 83% 的互联网流量都通过 API 传输，这反映了 API 在我们数字生活中扮演着多么重要的角色。”

Cequence Security 的首席信息安全官 Randolph Barr 补充道：“从很多方面来看，2026 年将标志着 API 从‘仅仅是一种交付机制’转变为数字业务的运营支柱，尤其是在一个日益被智能人工智能和货币化需求所主导的世界中。”

任何如此普遍且重要的事物都会招致网络攻击。2024年7月，Akamai监测到仅在2024年6月就发生了260亿次针对API的攻击，较2023年第一季度增长了49%。

问题就在这里。到2026年，情况会变得更糟——这主要是因为人工智能的智能化发展。

不断扩大的 API 攻击面

API攻击增加的主要原因是API数量的激增，以及它们使用方式和应用领域的变化。“我们正步入新一轮API热潮。上一波热潮是由云计算、移动应用和微服务推动的。如今，人工智能代理的兴起正在加速API的扩散，因为这些系统会在企业应用和云服务中生成海量、动态且不可预测的请求，”Curity首席技术官Jacob Ideskog评论道。

企业对智能体人工智能的广泛应用，正在推动API的激增。

Invicti 首席执行官 Neil Roseman 补充道：“智能体人工智能（即能够自主推理和执行任务的人工智能系统）的兴起，使得 API 的使用数量成倍增长。每个智能体都需要 API 来访问数据、触发工作流以及跨应用程序交互。这带来了新的挑战：动态生成的 API 难以清点，人工智能之间的通信隐蔽，以及模型集成导致敏感数据泄露风险增加。其结果是攻击面更大、更不稳定，传统的安全工具已无法应对。”

企业竞相利用人工智能的自主能力，但往往操之过急，缺乏足够的了解。

巴尔进一步解释道：“企业对API的需求正在不断增长。传统的人工交互方式——例如呼叫中心、网点服务、手动工作流程——正被自动化、全天候服务所取代，零售商、银行和其他行业都在竞相将人工智能赋能的体验货币化。这意味着API不再仅仅是内部粘合剂；它们已成为价值流的一部分，业务逻辑层得以暴露、扩展和货币化。”

智能体人工智能系统的日益普及及其自主行动（包括决策和触发工作流程）的方式，正导致API数量激增。“这不再仅仅是‘我提供一个计费API’的问题了，”他继续说道，“现在有数十个API可以为LLM或AI代理提供数据，接收AI代理的决策，促进服务和微应用之间的协调，并可能通过自主调度、采购和产品配置等方式公开‘代理’端点。”

每个人工智能代理都会隐式地引入新的应用程序接口（工具、服务和数据连接器），并扩大攻击面。“简而言之，”他说道，“应用程序接口正在横向（增加端点）、纵向（增加关键业务逻辑）和上下文（嵌入到人工智能/代理流程中）不断增长。”

Permiso联合创始人兼联合首席执行官Paul Nguyen指出，数量和复杂性的快速增长会导致企业失去库存控制。“到2026年，大多数企业将无法回答一些基本问题。例如，有多少个API端点？有多少个API凭证正在使用？每个凭证拥有哪些权限？它们上次轮换是什么时候？这种可见性缺失会构成重大的安全风险。”

2026 年的 API 攻击

“API是用户与业务逻辑之间最直接的联系。攻击者深知，薄弱的身份验证、业务逻辑缺陷和配置错误都可能直接打开通往敏感数据的通道，”罗斯曼警告说。“与此同时，影子API——即未记录、被遗忘或配置错误的端点——仍在不断增长，导致企业对其攻击面的大部分都视而不见。因此，API现在已成为网络攻击的首要目标。”

巴尔补充道，在竞相更快、更便宜、更优先地部署人工智能的过程中，对手的优势不断扩大，而传统的假设更是加剧了这一局面。“许多组织认为他们现有的Web应用程序防火墙（WAF）、内容分发网络（CDN）或API网关就足够了。但API安全，尤其是在API承载业务逻辑或自主代理工作流程的情况下，需要更深层次的行为感知和上下文感知控制。”

人工智能攻击面横跨三个不同的层面，每一层面都需要专门的防御措施，IEEE会员兼人工智能伦理工程师埃莉诺·沃森解释道。“在数据/模型层：攻击者会污染训练数据集，在检索语料库中注入后门，并破坏模型的完整性。在提示/工具层：攻击者会部署越狱程序，通过文档和网站执行间接提示注入，并操纵工具使用链。”

此外，“在 API / 系统层：威胁包括模型提取、策略克隆、通过链式工具调用滥用 API 以及使用代码模型生成多态恶意软件。”

Anthropic公司于2024年推出的模型上下文协议（MCP）尤其令人担忧。Anthropic公司在2025年11月4日兴奋地表示：“自2024年11月推出MCP以来，其应用发展迅猛：社区已构建了数千个MCP服务器，所有主流编程语言均有相应的SDK，并且业界已将MCP视为连接智能体与工具和数据的实际标准。”

虽然 MCP 带来了生产力优势，但也对 API 安全问题产生了影响，而影子 MCP 的日益增多更是加剧了这一问题——也就是说，员工在没有 IT 或安全团队的监督、正式批准甚至知情的情况下部署了 MCP 服务器。

Radware网络威胁情报副总裁Pascal Geenens警告说：“到2026年，托管MCP服务器、A2A端点和功能插件的存储库将成为主要攻击目标。正如NPM、PyPI和Docker Hub曾被利用来传播恶意软件包一样，MCP注册表和代理市场也将受到木马化服务清单和恶意上下文提供程序的渗透。”

Mitiga首席运营官、前以色列国防军8200网络部队上校Ariel Parnes警告说：“下一次大规模云规模安全漏洞攻击不会始于配置错误的存储桶，而是始于MCP API。随着企业将人工智能助手接入企业数据，这些新的API层将以不可预测的方式暴露敏感系统。MCP滥用将在2026年成为连接SaaS、人工智能和数据泄露活动的核心攻击途径。大多数企业仍然缺乏保护这一日益增长的集成层所需的可见性和控制能力。”

在Salesforce和Salesloft事件中，攻击者利用了 OAuth 和第三方应用程序令牌。“同样的威胁模式如今正在人工智能生态系统中出现。随着人工智能代理和基于 MCP 的系统越来越多地与第三方 API 和云服务集成，它们也继承了 OAuth 最薄弱的环节：权限范围过大、撤销策略不明确以及数据共享路径隐藏，”Netskope 的云威胁研究员 Gianpietro Cutolo 警告说。

“这些集成将成为供应链和数据泄露攻击的主要目标，被破坏的连接器或被植入病毒的工具会让攻击者悄无声息地在受信任的 AI 平台和企业环境中转移目标。”

简而言之，“智能AI给API蔓延带来了新的风险——过多的未管理或影子API端点，治理不足——提示注入和上下文中毒（攻击者通过API操纵AI输入），以及链式API攻击（利用AI代理并转向攻击相互连接的API和系统），”Black Duck的Constantine说道。

Bedrock Security首席安全官兼IANS Research研究员George Gerchow建议用安全态势管理（SPM）服务器替换MCP服务器。他解释说：“SPM和MCP服务器在人工智能安全领域发挥着两种截然不同但又互补的作用。MCP服务器是人工智能系统的组成部分，负责实现各种功能，而SPM则是监控和保护整个系统（包括MCP服务器）的总体安全策略。”

人工智能将在2026年被用于攻击应用程序接口（API）。

多年来，API一直是主要的攻击面——这个问题依然存在。从2025年开始，企业级人工智能部署的快速增长将使API数量成倍增加，并扩大攻击面，这一趋势将在2026年及以后加速发展。仅此一点就足以表明，针对API的攻击在2026年将会激增。

但随着攻击者利用自身开发的智能人工智能，攻击规模将会扩大，效果也会更加显著。巴尔解释道：“智能人工智能意味着恶意行为者可以自动进行侦察、探测API端点、串联API调用、测试业务逻辑滥用，并以机器规模执行攻击活动。拥有API端点，尤其是自助式、不受限制的端点，将成为极具价值的目标。而人工智能可以生成有效载荷、快速迭代、绕过简单的启发式算法，并映射API之间的依赖关系。”

此外，他继续说道：“由于 API 支持 AI/代理流程，攻击者可能会以代理-API 连接点为目标；例如，通过指示 AI 代理以非预期的方式调用易受攻击的 API，或者诱骗代理暴露特权 API 访问权限。”

过去，攻击者需要花费大量时间猜测 API 会使用哪些路径来访问用户数据。而现在，Intigriti 的首席黑客官 Inti De Ceukelaire 解释说：“人工智能尤其擅长预测 API 及其参数的构成。现在，这些路径很可能在几分钟内就能被发现。”

康斯坦丁继续说道：“攻击性用例包括攻击者利用人工智能大规模自动化API枚举、模糊测试和凭证填充攻击。生成模型可以生成逼真的API请求，绕过过滤器并模仿合法用户的行为。”

“新的API问题正在不断涌现，” Momentum首席技术官兼联合创始人Moiz Virani补充道，“尤其是在安全方面，例如代理间（A2A）通信漏洞，被攻破的代理可以利用其访问权限通过API攻击其他代理或系统。此外，自主代理生成的API调用数量庞大且速度极快，使得速率限制、滥用检测和详细的日志记录/审计等管理工作变得更加复杂。”

2026 年的 API 战场将异常激烈。人工智能的对抗性应用将瞄准所有企业 API，无论是传统的 API 还是新推出的多级控制 (MCP)/智能体 API。对于后者，一旦攻击成功，后果可能不堪设想。

人工智能时代如何保障API安全

未来几年，针对 API 的攻击将日益增多，安全威胁也随之加剧，因此我们很可能会看到各方加大力度保护 API。API 安全并非不可能，但我们尚未完全实现。到 2026 年，企业级智能 AI 应用的部署将扩大攻击者的攻击面，并使漏洞利用更加猖獗。

“保护API免受攻击和滥用的方法有很多种。随着应用程序变得越来越复杂，确保其安全确实需要大量投入。我不确定未来它们的安全性是否会得到改善，因为如果开放API供公司人工智能代理主要使用，安全责任可能会转移到代理身上，而不是API本身，”De Ceukelaire警告说。

Cequence Security 的 Barr 表示：“API 的安全完全可以保障，但不能依赖专为 Web 应用设计的传统工具。下一代 API 保护必须结合持续可见性、行为分析、上下文驱动访问、智能自动化和开发者原生测试。攻击者现在会将合法的 API 调用与恶意序列混合在一起，利用业务逻辑或滥用代理工作流。防御者必须采用实时行为分析，分析正常的 API 使用情况并检测异常，例如 AI 代理突然重复进行数据窃取调用，或者会话令牌在不相关的事务中被重复使用。这些运行时分析可以让防御者在细微的滥用行为升级为安全漏洞之前发现它们。”

“API 可以得到保护，但成功始于可见性。你无法保护你不知道存在的东西。” Invicti 的 Roseman 补充道。“现代应用安全测试平台提供了一种多层方法来发现 API 并进行漏洞测试。这种发现是通过分层实现的，包括运行时扫描、API 管理集成、源代码库挖掘以及在面向互联网的代理技术（例如 F5、NGINX 和 Cloudflare）上进行生产网络流量分析。”

他继续说道：“一旦发现漏洞，动态应用程序安全测试 (DAST) 引擎就会验证可达、可利用的漏洞——涵盖OWASP Top 10 API 风险、常见的 API 业务逻辑缺陷（如 BOLA 和 BFLA）、弱身份验证导致的密钥泄露，以及传统的 Web 应用程序弱点（如 SQL 注入或提示注入）。”

虽然复杂，但通过多层防御是可以实现的。“API 可以通过身份治理来保护，但不能仅仅依靠技术加固，”Permiso 的 Nguyen 指出。“安全模型需要全面发现所有正在使用的 API 凭证，合理分配权限（每个凭证仅拥有其实际需要的权限），进行行为监控（在凭证异常使用时发出警报），以及具备快速响应能力（撤销被盗用的凭证）。”

最后想说的

API 安全并非不可行，但目前尚未真正落实。这个问题在 2026 年将会更加严峻。“API 将成为数字基础设施中最有价值也最脆弱的组成部分，”Radware 的 Geenens 警告说。“随着人工智能代理开始独立交换数据和执行操作，API 流量将激增，超出人类监管范围，从而暴露出新的攻击途径。这种扩张将使 API 管理成为安全战略的核心。”

这个问题并非API独有，而是人工智能时代巨大难题的一部分。企业开发和部署人工智能是为了提高业务效率，而攻击者开发和部署（通常是相同的）人工智能是为了提高攻击效率。两者都有效——因此，网络安全防御者被迫开发和部署额外的人工智能来保护企业人工智能免受恶意攻击者的攻击，同时进一步扩大了攻击面。

这是永无休止的攻击和防御循环的一部分。再加上改变，再加上我选择了。

信息来源：51CTO https://www.51cto.com/article/834719.html