API 安全需要机器人管理： 解决 OWASP 十大 API 漏洞

企业网络安全团队已将重点转向API 安全，这是正确的。 在数字经济中，API 是企业的大门，是物联网设备、网络和移动应用程序的入口点，而且，它日益成为改变我们业务开展方式的人工智能驱动应用程序的入口点。 不幸的是，API 也是犯罪分子的大门，其中许多人依靠机器人进行攻击。 因此，对于安全团队来说，保护 API 并减轻用于攻击 API 的机器人的威胁至关重要。

OWASP十大 API 安全漏洞列表清楚地指出了机器人在 API 攻击中扮演的核心角色。 十大 API 漏洞中有三个与机器人直接相关：

• 身份验证失败： 机器人通过暴力破解、字典和凭证填充攻击来破解身份验证，导致账户被接管、欺诈、财务损失和客户愤怒。
• 不受限制的资源消耗： 机器人利用不受限制的资源消耗，耗尽 API 的内存和处理能力。 当机器人针对为交互式应用程序（人类使用的网络和移动应用程序）消费而设计的 API 时，对性能和成本的影响可能是灾难性的。
• 不受限制地访问敏感业务流程： 过度访问某些业务流程可能会损害业务。 未经授权的经销商可能会耗尽产品库存并以高得多的价格转售。 垃圾邮件发送者可以利用评论/帖子流。 攻击者可以使用预订系统来预订所有可用的时间段。 在这些情况下，会部署机器人来利用这些业务流程。

在他的书《Hacking APIs》中： 打破 Web 应用程序编程接口，著名网络安全和 API 专家 Corey J. Ball 解释了攻击者如何使用 API 发现自动化工具（OWASP ZAP、Gobuster、Kiterunner）和模糊测试（Postman、Wfuzz 和 Burp Suite）向 API 发送数千个请求来找出漏洞。 需要实施机器人管理来识别窥探并降低其有效性。

机器人不会以相同的方式影响所有 API。 API 通常受到相互 TLS的保护，因此身份验证失败的风险很低，并且可以针对每个经过身份验证的客户端强制执行速率限制。 仅期望来自交互式网络和移动应用程序的流量的 API 最容易受到机器人的攻击。

对于需要人工发起流量的 API 来说，防御机器人变得越来越困难。 开源库可以轻松地通过头部指纹识别来避免检测，并且通过包含数千万个住宅 IP 地址的网络来击败 CAPTCHA和代理请求的服务对机器人操作员来说也是广泛可用的。 标头分析、IP 拒绝列表和 CAPTCHA 等旧技术不再有效，这意味着寻求缓解机器人攻击的应用程序安全团队必须依靠丰富的客户端信号收集、利用 JavaScript 和移动 SDK 以及复杂的机器学习来区分攻击工具和机器人行为。

随着人工智能应用的部署越来越广泛，保护 API 和这些端点免受自动攻击将至关重要。 作为回应，OWASP 发布了2025 年 LLM 和 Gen AI 应用的十大风险与缓解措施。 请参阅我最近的帖子《机器人如何攻击大型语言模型》以了解更多信息。

您的组织中的哪些 API 容易受到机器人攻击？ 遭受攻击的可能性和影响的代价是多少？ 如何设计安全控制以确保针对机器人的必要保护？ 这些都是威胁建模中需要解决的好问题。 要了解有关机器人对业务影响的更多信息，请阅读有关该主题的 F5白皮书或注册免费咨询