API安全新威胁:2025年第三季度威胁统计报告深度解析

2025年第三季度API威胁统计报告显示API漏洞数量激增20%,AI-API漏洞暴涨57%,业务逻辑滥用成为新威胁。报告揭示了API安全现状与防护策略,为企业安全建设提供重要参考。

Wallarm最新的2025年第三季度API威胁统计报告显示,API漏洞、利用和泄露不仅在增加,而且在不断演变。

恶意行为者正在从代码级弱点转向业务逻辑缺陷,从Web应用转向合作伙伴集成,从REST API转向AI驱动的API。

以下是本季度的突出发现,以及安全领导者应采取的措施。

API漏洞再次激增

2025年第三季度,我们的研究人员识别了1,602个API相关漏洞,较第二季度增长20%。平均严重程度保持在CVSS 7.4,意味着大多数缺陷仍属于高危或严重级别。

主要问题来源变化不大:

  • 安全配置错误(API8)再次位居榜首,达605例,环比增长33%
  • 授权失效(API5、API1)约占所有API漏洞的28%
  • 身份验证失效(API2)因REST和SOAP API中凭据执行薄弱而急剧上升

尽管意识有所提高,但相同的基本问题仍然存在:配置错误、访问控制不足和凭据管理不善。这些都指向同一个系统性差距:API的部署速度仍然快于其安全防护速度。

AI-API和MCP漏洞爆发式增长

如果有一个明确的趋势,那就是AI-API漏洞的崛起。

第三季度,这类漏洞从77个增长到121个,三个月内增长57%。在该类别中,模型上下文协议(MCP)漏洞激增270%,表明恶意分子正在快速学习如何利用模型服务和推理流水线。

这些缺陷大多映射到熟悉的API弱点:配置错误、函数级授权失效和API的不安全使用。但其影响更为深远。

AI-API集成不仅暴露数据,还暴露业务逻辑、工作流程和信任链。随着各实体在客户和合作伙伴接口中嵌入AI,这些攻击面成倍增加,而传统的API扫描 alone 无法跟上步伐。

关键结论:正如我们在2025年度API威胁统计报告中所述,AI安全现在就是API安全。任何集成模型端点或代理系统的企业都必须扩展其API保护堆栈,以覆盖推理和编排层。

被利用的API仍遵循相同模式

CISA已知被利用漏洞(KEV)目录在第三季度新增51个条目。其中8个(16%)与API相关,表明API仍然是确认在野利用的稳定组成部分。

这些真实攻击反映了相同的旧模式:

  • Cisco ISE和TeleMessage API中的授权失效导致未经授权的访问和远程代码执行
  • 安全配置错误暴露了诊断接口,如Spring Boot Actuator端点
  • API的不安全使用导致Fortra GoAnywhere和DELMIA Apriso等系统中的反序列化缺陷

漏洞与主动利用之间的重叠很有说服力。相同类别的弱点不断被重新发现、重新利用和修复,而且往往为时已晚。

泄露事件揭示扩展的攻击链

第三季度确认了八起重大API相关泄露事件,涉及金融科技、酒店业、SaaS和AI。数量较第二季度略有下降,但范围和复杂性有所增加。

最突出的是Salesloft/Drift OAuth事件,该事件使用被盗令牌通过Salesforce API入侵多家企业,包括Cloudflare、Zscaler、Palo Alto Networks和Google。这是一个在整個合作伙伴生态系统中产生连锁反应的单一利用。

其他值得关注的案例包括:

  • Restaurant Brands International(RBI):通过逻辑缺陷和对象级授权失效(BOLA)利用驾车通道和订购API
  • SwissBorg:因金融科技API滥用损失4100万美元
  • McDonald’s(通过Paradox.ai):内部聊天机器人API暴露敏感申请人和HR数据
  • Flexypay Solutions:欺诈性合作伙伴API调用触发未经授权的支付

共同点是,恶意行为者不仅仅是在探测API的注入缺陷,他们还在操纵工作流程、令牌和信任边界。

业务逻辑滥用的兴起

在所有发现中,报告强调了每位CISO都应注意的趋势:业务逻辑滥用(BLA)。

与SQL注入或XSS不同,BLA不利用编码错误,而是滥用应用程序的设计工作方式。攻击者跳过步骤、重复一次性操作或扭曲状态转换以获得未经授权的结果。

示例包括:

  • 重用应过期的优惠券或退款(操作限制超限)
  • 跳过工作流程验证步骤(缺失转换验证)
  • 滥用隐藏或遗留API功能(影子功能滥用)

今年发布的OWASP业务逻辑滥用Top 10正式确定了这一不断增长的攻击类别。随着82%的企业现在自称是"API优先",逻辑层已成为有利可图的新目标。

传统WAF和静态扫描器无法捕获这种情况。只有有状态的、行为感知的监控和上下文驱动的测试才能实时检测BLA。

安全领导者的关键要点

第三季度确认API风险正在超越传统的应用安全覆盖范围。配置错误和授权失败仍然普遍存在,AI集成正在加速,逻辑滥用已进入主流。意识与执行之间的差距正在扩大。

那么企业下一步应该关注什么?

将API安全作为一等公民

API现在代表您的主要攻击面。请相应对待。将API指标(清单覆盖范围、暴露率、平均检测时间)集成到董事会级仪表板中。

弥合应用安全鸿沟

Web、移动和API安全不再是独立的领域。在一个框架下统一治理和测试,确保每个新服务从设计到部署都是安全的。

将保护扩展到AI流水线

AI端点必须像特权系统一样受到监控。检测模型API、记录推理流量并每季度审核集成。代理系统需要与面向客户的API相同(或更高)的严格性。

搜寻影子API

发现还不够。在攻击者之前使用主动扫描和流量关联来发现未注册的端点、调试路径和暂存残留。

测试业务逻辑,不仅仅是代码

在CI/CD中自动化滥用模拟。检查角色升级、跳过的工作流程和令牌重放。如果您的QA过程以模式验证结束,那么您测试的只是语法,而不是安全性。

API安全引领应用安全

2025年第三季度API威胁统计报告描绘了API蔓延、AI集成和业务逻辑缺陷汇聚成系统性风险的图景。

攻击者的演变速度超过了防御速度。问题不在于API是否会被针对,而在于实体能否在攻击跨越连接生态系统级联之前发现并阻止它们。

API安全不能再落后于应用安全。它必须引领应用安全。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次