最新研究显示，80% 的企业缺乏对 API 的持续实时监控，这意味着它们针对 AI 智能体的攻击“视而不见”。

由 Salt Security 发布的《2025 年下半年全球 API 安全现状报告》指出，随着企业争相布局 AI 智能体经济（AI Agent Economy），API 已成为推动这一浪潮的数字核心。但与此同时，API 安全体系的不成熟与防护缺口，正成为制约 AI 创新和自动化落地的“系统性漏洞”。

报告基于 386 位企业 API 管理专业人员的调研结果。数据表明：

• 80% 的企业没有实现持续的 API 实时监控；

• 三分之一（33%）的企业在过去一年中经历过 API 安全事件；

• 一半企业（50%）因安全担忧而推迟新应用上线；

• 仅有 19% 的企业对自家 API 清单的准确性“非常有信心”；

• 超过一半（54%）仍依赖开发者文档来识别敏感数据暴露风险，这种方式极易出错。

Salt Security 网络安全战略总监 Eric Schwake 形象地指出：

“API 已成为数字化转型和 AI 的核心引擎，但企业的安全防护仍然滞后。没有 API 安全，就像蒙着眼开车——你既无法治理 API，也无法治理 AI。如果不立即行动，这些失控的 API 攻击面将持续扩大，最终危及创新与韧性。”

生成式 AI 的兴起，让 API 安全挑战进一步升级。

• 62% 的企业已经在 API 开发中采用 GenAI；

• 但 56% 的企业认为这反而带来了新的安全隐患，尤其是 AI 生成代码中隐藏的漏洞；

• 同时，59% 的企业在安全运营中也引入了 GenAI，这种“攻防并行”的局面既带来防御机遇，也增加了风险复杂度。

Salt Security 指出，GenAI 的双刃剑效应正在使 API 安全成为新一轮网络安全焦点领域。

研究还揭示出 API 使用的惊人增长速度：

• 41% 的企业报告 API 数量同比增长 51%–100%；

• 13% 的企业增长 101%–200%；

• 甚至有 6% 的企业在一年内 API 数量暴增 300% 以上。

在管理规模上，42% 的企业已在维护101–500个 API，14%的企业管理超过1,000 个 API——这清晰地展现出现代 API 生态的复杂与庞大。

尽管将近 80% 的企业在过去一年增加了 API 安全预算，但多数增幅不足 15%。  受访者认为主要障碍包括：

• 预算不足（25%）

• 人力短缺（16%）

• 运行时安全薄弱（15%）

• 可管理性差（14%）

• 预生产安全投入不足（12%）

这些数据表明，许多企业的 API 安全体系仍处在早期阶段，尚未实现体系化与前瞻性建设。

报告呼吁企业从碎片化、被动式防御转向全周期 API 安全体系，核心措施包括：

• 实现持续的 API 自动发现与监测；

• 建立完善的治理与访问控制策略；

• 强化运行时保护与威胁检测；

• 针对生成式 AI 引入专项防护机制。

正如 Schwake 所总结的：

“AI 的采用速度令人震惊，但安全建设并未同步。现有工具往往忽略 API 执行层，攻击者可以通过 API 劫持整个 AI 智能体。唯有掌握 API 安全的企业，才能在安全前提下释放 AI 创新潜能；反之，则将在竞争中被淘汰。”