API成为网络犯罪首要攻击目标 2025年上半发生超过4万起API事件

Thales公布2025年上半最新API威胁报告，警告API（这些支撑应用程序、支付与登入的幕后连接器），已成为网络犯罪分子的首要攻击目标。

在超过4,000个受监测的环境中，Thales仅在2025年上半已监控记录超过40,000起API事件。尽管API只占整体攻击面14%，却吸引 44% 的进阶机器人流量，显示攻击者正将最复杂的自动化攻击重点，集中于支撑关键业务营运的工作流程上。

报告中最引人注目的发现之一，是针对某金融服务的API ，发动史上最大规模应用层DDoS攻击，高达 每秒1,500万次请求（RPS）。

不同于传统攻击目标是瘫痪网络带宽的流量型DDoS攻击，这次攻击专门锁定应用层，直接利用API消耗资源并中断营运。2025年上半，所有以API为目标的DDoS攻击流量中，有27%针对金融服务业，这反映出该产业严重依赖API进行实时交易，例如余额查询、转帐和支付授权。

这起事件显示攻击者已开始将大规模与隐蔽性相结合：利用庞大的殭屍网络与无标头浏览器，模拟合法 API请求，使防御者更难区分恶意流量与真实用户。

报告的关键发现到，2025年上半API安全事件超过40,000起，平均每日超过220起；若此趋势持续，全年数量将突破80,000起。以目标端点划分的攻击分布：37%为数据存取API，32%为结帐／支付，16%为身份验证，5%为礼品卡／促销验证，以及 3% 为影子端点或设定错误的端点。

未部署适应性MFA的API，帐号填充（credential stuffing）与帐号接管攻击尝试次数上升40%。数据撷取（data scraping） 占API机器人活动的31%，经常锁定高价值信息，如电子邮件地址与支付细节。优惠券和支付诈欺占攻击的26%，利用促销循环和薄弱的结帐验证机制做攻击。影子PI（Shadow APIs） 依然是重大盲点：企业通常实际使用的API比预期多出10–20%。

 Thales应用安全产品副总裁Tim Chang表示，API是数码经济的连结枢纽，但同时也成为最具吸引力的攻击面，所看到的不仅是攻击规模的扩大，更是网络犯罪手法的根本转变：他们不需要植入恶意程序码，只要窜改你的业务逻辑即可。这些请求表面上看似合法，但影响可能极具破坏性。

Tim接着指出，未来6个月，API攻击的数量与复杂度只会持续升高。采取移动刻不容缓，错过了昨天，移动的最佳时机就是现在。企业必须全面掌握所有正在运行的端点，理解其业务价值，并以具备情境感知与适应性能力的防御措施加以保护，才能真正保障营收、信任与法遵。

Thales威胁研究团队采用行为分析、机器学习与监识分析，对攻击进行分类、映射至目标端点，并识别跨产业的攻击趋势。虽然数据集主要反映Imperva的客户基础，但仍提供了一个强而有力且具代表性的观察发现，显示API如何在全球范围内被武器化。