2025 年應用程式與 API 安全預測：新的一年將有什麼機遇與挑戰？

隨著我們邁向 2025 年，應用程式與 API 安全的重要性愈趨明顯。回顧 2024 年，API 已穩居數位創新的核心地位。然而，API 的快速普及也使攻擊面大幅擴展， 27% 的 API 攻擊鎖定業務邏輯漏洞，相較於前一年增加了 10%。此外，46% 的帳戶竊取攻擊（ATO）也瞄準 API 端點，相較 2022 年的 35% 更為增加，使資安面臨更嚴峻的挑戰。

這些數據顯現 API 驅使的數位轉型所帶來的雙面刃：提升連結性與效率的同時，新的安全漏洞也隨之產生。隨著企業持續將 API 作為數位策略的基石，保護這些關鍵路徑的重要性也不言而喻。2025 年，企業不僅需防禦 API 威脅，更需構建安全、有韌性的基礎設施，以實現創新與資安兼得的局勢。

API 成長促使 DevSecOps 的採用

2025 年是 API 蓬勃發展的第四個年頭。 Imperva 研究報告指出，企業在 2024 年平均管理了 613 個 API 端點，而 API 流量占整體網站流量的 71%。然而 API 的資料無縫整合能力，也使其成為攻擊者的首要目標。與 API 相關的資安問題每年已讓企業損失高達 870 億美元。

因應 API 日益增長的風險，企業在 2025 年勢必要從開發階段就加強安全防護。隨著越來越多企業採用 API，我們將看到更多公司實踐 DevSecOps 策略，將資安融入開發流程中。

強化 API 探索（API Discovery）

隨著 API 數量與威脅的持續增加，API 探索工具將更為普及，迫使企業在 2025 年需更加專注於 API 探索工作。唯有建立 API 資料的可見性、分類與監控，才能有效保護企業。此外，透過發掘隱藏的 API，軟體開發人員與資安管理人員可以更準確地知道如何應對潛在的安全問題。

API 安全將在 2025 年進入成熟階段

CISO 逐漸意識到企業內 API 數量，促使企業共同投入 API 的安全防護。這意味著 API 安全將在 2025 年邁向新的成熟階段，大多數企業將採用進階 API 安全措施（如自動修復），或將其納入未來兩年的策略規劃中。

API 資料外洩與 LLM 應用

隨著企業持續採用大型語言模型（LLM）的應用程式，LLM 代理程式等自定義元件將更加普及。由於這些元件通常仰賴 API 來運作並與其他系統整合，因此 2025 年可能出現至少一起與 LLM 應用程式有關的重大資安事件，特別是與 API 串接有關的漏洞。這些事件將引起外界對 API 安全的高度關注，凸顯加強 API 保護的迫切性。

指令注入攻擊（Prompt Injection）與 AI 安全風險

生成式 AI 是目前最令人期待的技術之一，但也帶來了全新的攻擊媒介— 指令注入攻擊（Prompt Injection），這是目前幾乎無法可防的威脅。2025 年若發生指令注入攻擊，將可能導致全球知名企業的重要智慧財產外洩，並加速 AI 進入「幻滅期（Trough of Disillusionment）」。這些風險不但會動搖企業對 AI 系統安全的信心，也將破壞 AI 系統的感知優勢和可靠性。

生成式 AI 與網路犯罪

生成式 AI 已降低了網路犯罪的門檻，即使是沒有經驗的攻擊者，也能快速、輕鬆發動大規模的複雜攻擊。這個問題預計在 2025 年將更加惡化，例如可能出現只要輸入企業名稱就可發動一系列惡意行動的網路攻擊工具。駭客可以利用這些工具自動產生、發送網路釣魚電子郵件，一旦進入目標網路，他們就可以進一步利用這項技術取得存取權限。這些工具的易用性和有效性可能會大幅增加網路攻擊的數量與複雜性。

開源供應鏈攻擊

隨著供應鏈日益複雜且相互連結，2025 年可能發生重大開源供應鏈攻擊，如 2024 年的 XZ Utils（SSH）攻擊，但成功的可能性更高。因此企業需要採用多層次安全策略，包括定期程式碼審核、自動化漏洞掃描與嚴格的存取控制，以及威脅情報和最佳實踐的資訊共享等，以降低此類攻擊風險。此外，維護所有軟體元件及其 Dependency 的資產清單將有助企業快速識別並解決漏洞問題。

eBPF 將改變資安控管

eBPF（Extended Berkeley Packet Filter）技術讓作業系統核心可以執行自訂程式碼，透過即時監控和進階威脅偵測來增強安全性。2025 年，eBPF 預期將顛覆傳統資安，讓用戶可以直接在 Linux 與 Windows 的作業系統核心執行各項政策，提供更有效率、更靈活的保護，特別是複雜的系統和應用程式（包括運用 LLM 的系統）。