随着生成式AI与大语言模型（LLM）的快速进展，恶意机械人（Bot）攻击正以前所未见的速度升温。根据全球技术与安全解决方案供应商Thales近日发表的《2025年Imperva恶意机械人报告》，AI工具的普及显着降低了网络攻击的技术门槛，使骇客即使不具备高阶技术背景，也能轻易大规模部署机械人，对金融、医疗与电商等高度依赖API的产业构成巨大威胁。

根据《2025年Imperva恶意机械人报告》，AI工具的普及显着降低网络攻击的技术门槛，使骇客即使不具备高阶技术背景，也能轻易大规模部署机械人，对金融、医疗等高度依赖API的产业构成巨大威胁。

本次报告分析涵盖来自全球超过13兆次恶意机械人请求拦的截纪录，范围横跨数千个网域与多个产业，此为该年度研究的第12版，由Imperva威胁研究团队与安全分析服务（SAS）团队共同编制。

该报告指出，2024年自动化机械人流量首次超越人类所产生的网路流量，占比达51%。其中恶意机械人流量占整体网路流量的37%，较去年的32%显着上升，并连续第六年呈现增长趋势，显示出AI推升攻击趋向规模化。Thales应用程式安全总经理Tim Chang强调：「AI驱动的机械人数量正以前所未见的速度成长，为全球企业带来前所未有的安全挑战。」

「机械人即服务（Bot-as-a-Service, BaaS）」等商业化生态系迅速成熟，使骇客能不断优化其攻击策略，甚至利用AI分析先前失败攻击的原因并进行改进，进一步提高渗透效率与规模。

报告指出，旅游与零售业成重灾区，在所有产业中面临最严峻的机械人威胁，恶意机械人流量占比分别高达41%与59%。其中，旅游业更成为2024年受攻击最严重的产业，占所有机械人攻击的27%。尽管进阶型机械人攻击比例下降（由61%降至41%），但简单型攻击却大幅上升（从34%跃升至52%），显示AI降低了攻击门槛，使得大量低技术骇客也能密集发动攻击。

生成式AI工具的普及正为网路威胁注入新动能，成为新型网路武器。根据报告，现今骇客广泛使用如ChatGPT、ClaudeBot、Google Gemini、Perplexity AI等AI平台进行攻击。其中，来自ByteSpider Bot的攻击占所有AI驱动攻击的54%，其他常见来源还包括AppleBot（26%）与ClaudeBot（13%）。Chang表示：「许多曾被视为高端的规避技术，现在已成为标准攻击手法。企业若未能迅速因应，将难以抵挡日益进化的威胁。」

Imperva报告特别指出，应用程式介面（API）正成为机械人攻击的主要目标。高达44%的进阶机械人流量专门针对API进行攻击，不仅企图瘫痪端点，更深入业务逻辑，利用自动化流程发动支付诈骗、帐户劫持与资料窃取。

在许多产业当中，金融服务、医疗保健和电子商贸产业将面临的攻击风险加剧。而金融服务业首当其冲，是帐户接管（Account Takeover）攻击的首要目标，占整体事件的22%。其次为电信与网路供应商（18%）以及IT产业（17%）。由於金融业掌握大量个人身分资讯（PII）及高价值资产，其API使用频率高、功能复杂，成为骇客觊觎的重点。可见得API虽然是现代应用程式的基础，能够实现跨平台连结与个人化体验，但同时也因其复杂性与资料敏感性，成为资安防线的潜在破囗。

《2025年Imperva恶意机械人报告》再次凸显在AI新时代的企业资安策略需大幅升级。未来的攻防战不再仅靠技术实力，而是对风险趋势的即时掌握与快速因应能力。面对持续升温的机械人威胁，唯有建构具前瞻性的防御架构，才能在这场高速演进的数位安全战中稳住阵脚。