F5报告：亚太区API安全缺口日益扩大　立即强化治理与韧性

随着代理式人工智能（Agentic AI）在亚太地区的快速普及，API安全正出现重大盲点。根据F5（纳斯达克代码：FFIV）最新发布的《2025年策略要务报告：亚太区代理式AI时代保护API安全》（2025 Strategic Imperatives：Securing APIs for the Age of Agentic AI in APAC），AI的快速采用正在重塑API威胁态势，而API持续驱动着该地区的数码体验。

目前超过80%的亚太企业已透过API来部署AI与机器学习模型。从过去单纯的数据连接界面，API已演变为关键的执行界面，使代理式人工智能系统能够实时感知环境、做出决策并自动执移动作。然而，若缺乏完善的安全防护，权限设定错误或治理机制薄弱，可能导致大规模、非预期甚至具破坏性的行为发生。

尽管企业普遍意识到风险之高，有63%的亚太企业认为API安全对「营运持续性、法规遵循与AI转型极为重要，但实际执行仍明显落后。仅有42%的企业具备成熟的API治理能力，更只有22%成立专责的API安全部门。这导致安全控管执行不一致，监督出现漏洞，使企业暴露于更高的营运与法规风险之中。

F5亚太暨日本区技术长Mohan Veloo进一步指出，AI代理的运作速度与自主性，要求API安全必须内建于企业营运基础中。这意味着必须将治理、可视性与政策强制纳入API工作流程，确保无论是人为或机器的所有互动，都能实时完成身份验证、授权与监控。F5正协助亚太区企业强化这些控管机制，让他们能在不牺牲韧性与敏捷度的前提下，自信地扩大AI应用。

未来一年内，69%的亚太企业预期将大幅提升API安全预算，显示API安全正成为企业高层的关注焦点。然而，若缺乏统一监管，增加的预算恐导致资源分散、成效不彰，难以真正提升整体网安韧性。

为了缩小治理缺口，避免影响AI转型进程，F5建议企业聚焦以下五大策略方向：一、建立C-level层级的 API治理责任制度：打破DevOps、安全与基础架构团队之间的分散监管，建立统一的治理架构，确保API 政策与企业AI、风险与转型策略一致。二、优先落实涵盖「发现、状态、执行阶段与测试」的全生命周期控管：建立完善的API安全防护机制，内容应包括自动化API探索、存取范围与速率限制等安全状态政策、执行阶段的威胁侦测，以及部署前后的安全测试。

三、将「代理感知」能力纳入API流量监控：建置能侦测自主行为模式、记录情境化操作，并实现人机行为实时可追踪的系统。四、依据OWASP标准，在人爲与AI代理的API使用情境中一致执行安全政策：建立执行阶段控管机制，确保功能层级的授权与设定错误侦测能一致套用，无论API是由人员或AI代理所存取皆可确保安全性。最后一点，将API行为与代理意图及业务结果连结至治理架构：明确界定智能代理可执行的操作范围、条件与监督机制，确保其行为符合企业政策与商业目标。

如欲深入了解完整报告内容，欢迎至F5官网下载《2025年亚太区API安全报告》。