資安挑戰浮現　API擴張引領AI革命

編譯／Cynthia

最近，人工智慧（AI）相關應用正蓬勃發展，在這波潮流中，應用程式介面（API）扮演關鍵角色。克羅埃西亞的軟體公司Treblle執行長Vedran Cindric在接受Help Net Security的訪談中指出，截至2023年，AI相關API呈現出驚人的96％增長。這不僅對技術領域構成挑戰，更是推動AI進步的引擎。

AI API的急遽擴張

API的急遽擴張背後原因是它們支援幾乎所有的AI互動。每當在AI聊天機器人中輸入訊息，實際上都是一次API請求。這種不可見的連結將各種問題、圖片查詢等透過API請求實現。基於AI工具普及，API需求持續增長，使得API的年增長率在2023年翻倍。未來AI相關的API將持續主導API發展。

更多新聞：Hugging Face恐有API漏洞　攻擊者可存取微軟、Meta模型

API在科技中的關鍵元素

API將成為現代組織的基石，特別是在組織邁入API經濟時代。這種轉變體現在數位業務轉型中，以及新技術趨勢的影響下。不論是虛擬實境或擴增實境眼鏡、可穿戴裝置還是語音控制裝置，都需要API的支持。API在未來將發揮更為關鍵的作用，尤其是隨著世界轉向更多不需瀏覽器的裝置。這種擴張也帶來更多的API請求以及資安挑戰。API安全的挑戰在於組織無法即時得知駭客如何利用其API，所以擁有API數據存取的工具將變得更加重要。

API的效能和安全性潛在危機

報告指出，在API中存在大量的殭屍端點，這對API的效能和安全性帶來潛在的危機。組織擁有眾多殭屍端點的主要原因是他們無法取得顧客API使用數據。這些未被維護的端點通常容易發生數據洩漏或成為駭客攻擊的目標。對組織來說，這將帶來嚴重的後果，因為駭客可以很快發現哪些端點是被忽略的，特別是當API說明文件是公開可用的情況下。

身分驗證的重要性，確保API的安全基石

報告顯示，有51％的請求未使用任何形式的身分驗證。Cindric強調，身分驗證是確保API安全的最基本形式，每個組織應該儘早實施任何形式的身分驗證。雖然不需要很複雜或耗時，但使用任何形式的身分驗證總勝過一點保護都沒有。如同家門一樣，有了鑰匙你可以控制誰在什麼時候、在什麼情況下進入。同理，API也應該像一把精心設計的鑰匙，確保只有合適的人在適當的時候使用它。

客戶端錯誤與最佳實踐

報告強調客戶端錯誤是一個普遍存在的問題，Cindric建議，對消費者而言，其中一個最重要的事情是仔細閱讀API說明文件。大多數客戶端問題可以追溯到開發者忘記進行授權、調用不存在的資源或URL。透過細讀文件、實施測試驅動開發以及在調用之前檢查資源是否存在，這些問題都可以迎刃而解。

因應現代API複雜性的不可或缺

Cindric預測，API監控與治理工具將成為所有建立API的組織都必不可少的工具。這些工具將協助你更深入了解你的工程團隊如何建立API，以及客戶如何使用這些API。API並不會淡出歷史舞台，相反地它們將在未來變得更加重要和複雜。這表示組織需要不斷演進，以因應未來在API整合和管理方面所面臨的挑戰與機會。

資料來源：Help Net Security

瀏覽 10,504 次