API安全现状核查:2025年第二季度API ThreatStats报告关键要点
API安全的重要性已达前所未有的高度。漏洞数量持续增长且严重性加剧,AI集成成为新兴攻击向量,GraphQL的普及带来潜在风险。要保护组织安全,必须强化API防护。
以下是Wallarm 2025年第二季度API ThreatStats报告的核心发现及防护建议:
GraphQL的隐藏风险
目前70%的组织使用GraphQL,但2025年第二季度却未报告任何GraphQL相关数据泄露。这并非因为GraphQL本身安全,而是因为传统安全工具往往无法有效支持GraphQL,导致组织难以准确检测和归因攻击事件。
GraphQL能将载荷大小削减99%并为客户端提供灵活的数据控制能力,但这种灵活性也导致以下风险:
- 数据过度暴露
- 嵌套查询引发的拒绝服务攻击
- 解析器级别授权绕过
防护措施建议:
- 在生产环境中禁用或安全配置内省功能
- 实施查询成本分析和深度限制
- 在字段和解析器级别进行身份验证与授权
- 监控异常复杂或访问尝试的查询模式
API漏洞激增与攻击态势
2025年第二季度API相关CVE数量达到639个,较第一季度增长9.8%。其中:
- 约三分之一属高危漏洞(远程代码执行、令牌泄露、反序列化漏洞)
- 另三分之一为高风险漏洞(授权绕过、敏感数据暴露)
- 其余为中低危漏洞,但仍可能通过链式攻击造成业务逻辑滥用
AI相关API漏洞从Q1的19个激增至Q2的34个,印证了"AI安全即API安全"的论断。
最常被利用的API漏洞类型
- 未认证访问点:暴露端点与默认配置导致未授权访问
- 失效授权机制:BOLA(失效对象级别授权)成为主要攻击目标
- 令牌滥用与会话劫持:令牌机制暴露导致权限提升
- 注入与执行漏洞:GraphQL解析器和Shell端点存在命令注入风险
给安全负责人的关键建议
- 全面API可见性:持续发现内部/外部/影子API,结合实时使用监控
- 加固AI技术栈:保护AI管道全流程,实施细粒度访问控制
- 多层身份验证强化:制定精细化访问策略,避免授权漏洞
- 超越架构的测试:通过行为测试模拟滥用场景,捕捉逻辑缺陷
- 全生命周期防护:将安全测试集成至开发早期,结合运行时保护
报告下载链接:[Wallarm官方报告页面]