WAAP的演变: 从“Web 应用和 API”到“Web、API 和 AI”防护
随着我深入研究我们的年度研究,我得出了几个不可避免的结论,这主要是由人工智能对一切事物的影响所驱动的。
其中一个不可避免的结论是,WAAP 是时候从“Web 应用程序和 API 保护”转变为“Web、API 和 AI 保护”了。
我说了该说的话。
做出这种说法的原因有很多,其中最重要的是“web”和“app”是多余的。 虽然估计值可能因方法和时间段而异,但一些业内消息来源表明,大约80% 的互联网流量是通过 HTTP 协议(包括 HTTP 和 HTTPS)传输的。 例如,思科可视化网络指数 (VNI)报告和Akamai等内容交付网络的类似分析一致表明,网络流量(主要通过 HTTP/HTTPS 传输)占全球互联网流量的绝大部分。
从交付和安全服务的角度来看,通过“HTTP/S”传输的任何流量通常都被视为“应用程序”。 生成的内容是否来自现代或传统的应用、静态或动态,与用于传递和保护它的大量服务基本上无关。 甚至通过 HTTP/S 提供的基础设施服务(例如 DNS)的百分比也在增长。 Cloudflare 的行业估计普遍表明,目前大约10-20% 的 DNS 流量是通过 HTTPS(DoH)传输的。
因此,让我们放弃“网络应用程序”,只说“网络”。
WAAP 中的 API 仍然很重要。 API 流量一直在增长,无需引用所有表明 API 当今占主导地位的来源。 但如果您需要我的话,那是在 2021 年,当时RapidAPI 的 API 状态报告指出,各种服务每月都会进行数十亿次 API 调用。 如果以一个月(大约 260 万秒)为平均值,这些数字意味着全球平均每秒有大约 400,000 次 API 调用。
那是四年前,生成式人工智能尚未出现。
这让我们明白了这篇文章的真正意义,即将 AI 融入 WAAP。
现在,我知道我刚才说过,我们不要重复,因为人工智能消费几乎普遍通过 API 完成,这使得它看起来没有必要,但交付和安全服务必须处理非确定性、主要是基于文本的内容的变化非常重要,值得被指出。 至少目前如此。
因为您会看到,计划用于保护 AI 推理的顶级交付和安全服务与 WAAP 中包含的服务大致相同。
WAAP 定义中包含的技术被广泛用于保护 AI 推理。
现在,我们不要忽视,在过去的一年里,一种新的安全服务——AI网关,已经进入了我们的视野。 AI网关在提示和响应周围添加了针对AI的特定保护,以解决存在的一些AI特定漏洞,例如提示注入、越狱甚至幻觉。
AI 网关的使用和计划使用融合了传统用于 Web 和 API 流量的交付和安全服务。
现在的问题是,仅靠 AI 网关不足以保护模型,因为 API 也存在独特的威胁。 WAAP 的组件(如机器人管理和 DDoS 保护)来自我们之前讨论过的普通旧网络(即 HTTP/S)。
但让我们看看数据。 因为我们向人们询问了交付和安全服务的部署情况(当然我们这样做了)。
我们发现,部署所有四种传统 WAAP 技术的受访者比例为 94%。
部署所有四种传统 WAAP和AI 网关的受访者比例是,等一下,你知道的......是的,94%。
换句话说,组织已经将这些技术一起部署,因为他们知道保护 AI 模型和推理服务器需要保护从第 4 层到第 7 层的整个堆栈。 这意味着所有五项服务都是必需的:
- Web应用防火墙
- API 安全
- 机器人管理
- DDoS 保护
- 人工智能
因此,我得出的结论是,WAAP 需要从仅仅关注应用程序和 API 发展到包含 AI。