随着生成式AI与大语言模型(LLM)的快速进展,恶意机械人(Bot)攻击正以前所未见的速度升温。根据全球技术与安全解决方案供应商Thales近日发表的《2025年Imperva恶意机械人报告》,AI工具的普及显着降低了网络攻击的技术门槛,使骇客即使不具备高阶技术背景,也能轻易大规模部署机械人,对金融、医疗与电商等高度依赖API的产业构成巨大威胁。
 |
根据《2025年Imperva恶意机械人报告》,AI工具的普及显着降低网络攻击的技术门槛,使骇客即使不具备高阶技术背景,也能轻易大规模部署机械人,对金融、医疗等高度依赖API的产业构成巨大威胁。 |
本次报告分析涵盖来自全球超过13兆次恶意机械人请求拦的截纪录,范围横跨数千个网域与多个产业,此为该年度研究的第12版,由Imperva威胁研究团队与安全分析服务(SAS)团队共同编制。
该报告指出,2024年自动化机械人流量首次超越人类所产生的网路流量,占比达51%。其中恶意机械人流量占整体网路流量的37%,较去年的32%显着上升,并连续第六年呈现增长趋势,显示出AI推升攻击趋向规模化。Thales应用程式安全总经理Tim Chang强调:「AI驱动的机械人数量正以前所未见的速度成长,为全球企业带来前所未有的安全挑战。」
「机械人即服务(Bot-as-a-Service, BaaS)」等商业化生态系迅速成熟,使骇客能不断优化其攻击策略,甚至利用AI分析先前失败攻击的原因并进行改进,进一步提高渗透效率与规模。
报告指出,旅游与零售业成重灾区,在所有产业中面临最严峻的机械人威胁,恶意机械人流量占比分别高达41%与59%。其中,旅游业更成为2024年受攻击最严重的产业,占所有机械人攻击的27%。尽管进阶型机械人攻击比例下降(由61%降至41%),但简单型攻击却大幅上升(从34%跃升至52%),显示AI降低了攻击门槛,使得大量低技术骇客也能密集发动攻击。
生成式AI工具的普及正为网路威胁注入新动能,成为新型网路武器。根据报告,现今骇客广泛使用如ChatGPT、ClaudeBot、Google Gemini、Perplexity AI等AI平台进行攻击。其中,来自ByteSpider Bot的攻击占所有AI驱动攻击的54%,其他常见来源还包括AppleBot(26%)与ClaudeBot(13%)。Chang表示:「许多曾被视为高端的规避技术,现在已成为标准攻击手法。企业若未能迅速因应,将难以抵挡日益进化的威胁。」
Imperva报告特别指出,应用程式介面(API)正成为机械人攻击的主要目标。高达44%的进阶机械人流量专门针对API进行攻击,不仅企图瘫痪端点,更深入业务逻辑,利用自动化流程发动支付诈骗、帐户劫持与资料窃取。
在许多产业当中,金融服务、医疗保健和电子商贸产业将面临的攻击风险加剧。而金融服务业首当其冲,是帐户接管(Account Takeover)攻击的首要目标,占整体事件的22%。其次为电信与网路供应商(18%)以及IT产业(17%)。由於金融业掌握大量个人身分资讯(PII)及高价值资产,其API使用频率高、功能复杂,成为骇客觊觎的重点。可见得API虽然是现代应用程式的基础,能够实现跨平台连结与个人化体验,但同时也因其复杂性与资料敏感性,成为资安防线的潜在破囗。
《2025年Imperva恶意机械人报告》再次凸显在AI新时代的企业资安策略需大幅升级。未来的攻防战不再仅靠技术实力,而是对风险趋势的即时掌握与快速因应能力。面对持续升温的机械人威胁,唯有建构具前瞻性的防御架构,才能在这场高速演进的数位安全战中稳住阵脚。