F5報告：亞太區API安全缺口日益擴大　立即強化治理與韌性

隨著代理式人工智慧（Agentic AI）在亞太地區的快速普及，API安全正出現重大盲點。根據F5（納斯達克代碼：FFIV）最新發布的《2025年策略要務報告：亞太區代理式AI時代保護API安全》（2025 Strategic Imperatives：Securing APIs for the Age of Agentic AI in APAC），AI的快速採用正在重塑API威脅態勢，而API持續驅動著該地區的數位體驗。

目前超過80%的亞太企業已透過API來部署AI與機器學習模型。從過去單純的資料連接介面，API已演變為關鍵的執行介面，使代理式人工智慧系統能夠即時感知環境、做出決策並自動執行動作。然而，若缺乏完善的安全防護，權限設定錯誤或治理機制薄弱，可能導致大規模、非預期甚至具破壞性的行為發生。

儘管企業普遍意識到風險之高，有63%的亞太企業認為API安全對「營運持續性、法規遵循與AI轉型極為重要，但實際執行仍明顯落後。僅有42%的企業具備成熟的API治理能力，更只有22%成立專責的API安全部門。這導致安全控管執行不一致，監督出現漏洞，使企業暴露於更高的營運與法規風險之中。

F5亞太暨日本區技術長Mohan Veloo進一步指出，AI代理的運作速度與自主性，要求API安全必須內建於企業營運基礎中。這意味著必須將治理、可視性與政策強制納入API工作流程，確保無論是人為或機器的所有互動，都能即時完成身分驗證、授權與監控。F5正協助亞太區企業強化這些控管機制，讓他們能在不犧牲韌性與敏捷度的前提下，自信地擴大AI應用。

未來一年內，69%的亞太企業預期將大幅提升API安全預算，顯示API安全正成為企業高層的關注焦點。然而，若缺乏統一監管，增加的預算恐導致資源分散、成效不彰，難以真正提升整體資安韌性。

為了縮小治理缺口，避免影響AI轉型進程，F5建議企業聚焦以下五大策略方向：一、建立C-level層級的 API治理責任制度：打破DevOps、安全與基礎架構團隊之間的分散監管，建立統一的治理架構，確保API 政策與企業AI、風險與轉型策略一致。二、優先落實涵蓋「發現、狀態、執行階段與測試」的全生命週期控管：建立完善的API安全防護機制，內容應包括自動化API探索、存取範圍與速率限制等安全狀態政策、執行階段的威脅偵測，以及部署前後的安全測試。

三、將「代理感知」能力納入API流量監控：建置能偵測自主行為模式、記錄情境化操作，並實現人機行為即時可追蹤的系統。四、依據OWASP標準，在人爲與AI代理的API使用情境中一致執行安全政策：建立執行階段控管機制，確保功能層級的授權與設定錯誤偵測能一致套用，無論API是由人員或AI代理所存取皆可確保安全性。最後一點，將API行為與代理意圖及業務結果連結至治理架構：明確界定智慧代理可執行的操作範圍、條件與監督機制，確保其行為符合企業政策與商業目標。

如欲深入了解完整報告內容，歡迎至F5官網下載《2025年亞太區API安全報告》。