近日,全球領先的技術與安全服務商泰雷茲發布了《2025年Imperva惡意爬蟲報告》,全面分析了全球網絡的自動化爬蟲流量的最新趨勢。今年的報告是第12次年度研究報告,它揭示了生成式人工智能(AI)的普及正在徹底改變爬蟲的開發模式,使得技術能力有限的攻擊者通過更高頻次而產生大規模爬蟲攻擊。如今,在日益商業化的“爬蟲即服務”(BaaS)生態系統中,攻擊者甚至會利用AI技術分析失敗攻擊案例,并優化攻擊技術,從而更高效地規避安全檢測。
2024年,自動化爬蟲流量十年來首次超過了業務正常的流量,占全球網絡流量的51%。這一轉變主要源于AI和大語言模型(LLM)的普及,它們大幅降低了惡意爬蟲的創建與規模化部署門檻。隨著AI工具獲取難度逐漸降低,網絡犯罪分子正越來越多地利用這些技術來創建和部署惡意爬蟲。目前惡意爬蟲產生的流量占全球網絡流量的37%,較2023年的32%有了顯著增長。這是惡意爬蟲活動連續第六年呈現上升趨勢,對企業數字資產安全構成持續威脅。
旅游和零售行業面臨尤為嚴峻的高級爬蟲威脅,其惡意爬蟲流量占比分別達41%和59%。2024年旅游業成為受攻擊最嚴重的領域,占所有爬蟲攻擊的比例從2023年的21%上升至27%。2024年最值得注意的變化趨勢是,針對旅游業的高級爬蟲攻擊占比從2023年的61%降至41%,而簡單爬蟲攻擊占比則從2023年的34%飆升至52%。這種變化表明AI驅動的自動化工具降低了攻擊者的技術門檻,使得水平有限的攻擊者亦能發起更多簡單的爬蟲攻擊。網絡罪犯正放棄單一依賴復雜技術手段,轉而通過大量簡單爬蟲來密集式攻擊旅游網站,導致攻擊頻次和范圍持續擴大。
AI驅動爬蟲的崛起: 網絡安全挑戰的新時代
以ChatGPT、ByteSpider Bot、ClaudeBot、Google Gemini、Perplexity AI和Cohere AI為代表的先進AI工具的出現,不僅改變了用戶交互方式,更重塑了網絡攻擊的實施手段。Imperva 威脅研究團隊指出,當前主流AI工具正被廣泛用于網絡攻擊,其中僅ByteSpider Bot就占所有AI驅動攻擊的54%,其他主要攻擊源還包括AppleBot(占比26%)、ClaudeBot(占比13%)以及ChatGPT User Bot(占比6%)。
泰雷茲應用安全總經理Tim Chang表示:“AI驅動的爬蟲數量激增,對全球企業構成嚴峻威脅,隨著自動化流量占比已超過所有網絡活動的一半,日益泛濫的惡意爬蟲讓企業面臨持續升級的安全風險。”
隨著攻擊者對AI工具運用日益純熟,其攻擊手段已覆蓋分布式拒絕服務(DDoS)攻擊、定制化規則濫用及API違規等多重網絡威脅。爬蟲攻擊日趨復雜化,這也給檢測工作帶來更大挑戰。
Chang補充道:“今年的報告揭示了爬蟲攻擊手法的不斷演化。曾經的高級規避技術如今已成許多惡意爬蟲的標配。在快速演變的網絡環境中,企業必須不斷調整他們的防御策略,關鍵是要采取靈活且主動的方法,利用先進的爬蟲檢測工具和全面的網絡安全管理解決方案,針對不斷變化的爬蟲威脅建立彈性防御體系。”
針對API業務邏輯的惡意爬蟲對現代企業的威脅日益嚴重
Imperva 威脅研究團隊的最新發現表明,針對API的攻擊呈現激增態勢,高級爬蟲流量中有44%專門瞄準API。這類攻擊并不僅限于癱瘓API端點,而是針對定義API運行模式的復雜業務邏輯。攻擊者通過部署特制爬蟲,專門利用API工作流程中的漏洞,實施自動化支付欺詐、賬戶劫持和數據竊取。
該報告分析表明,網絡攻擊者正有策略地針對高價值敏感數據的API端點展開攻擊。這一趨勢對依賴以API為核心業務和交易的行業影響尤為嚴重,其中金融服務、醫療健康和電子商務產業受攻擊最為嚴重,成為黑客竊取敏感信息的主要目標。
作為現代應用程序的支柱,API可以實現跨服務連接、優化業務流程,同時大規模提供個性化用戶體驗。API為支付處理、供應鏈管理和AI驅動分析等核心功能提供支持,在提升運營效率、加速產品開發和開辟新營收渠道方面發揮不可替代的作用。
Chang警示道:“雖然API固有的業務邏輯功能強大,卻也造就了讓攻擊者虎視眈眈的特有漏洞。如果企業要采用云服務和微服務架構,就必須認識到,正是那些使API不可或缺的特性,同時也可能成為欺詐和數據泄露的突破口。”
金融服務、醫療保健和電子商務行業面臨更高風險
《2025年Imperva惡意爬蟲報告》深入分析指出,金融服務、醫療保健和電子商務是當前受影響最嚴重的行業,這些行業普遍依賴API進行關鍵業務和敏感交易,令其成為復雜爬蟲攻擊的重點目標。
報告指出,金融服務業成為賬戶接管(ATO)攻擊的首要目標,占比高達所有ATO攻擊事件的22%,緊隨其后的是電信與互聯網服務提供商(18%)以及計算機與IT行業(17%)。由于賬戶價值高且涉及敏感數據,金融服務業長期是ATO攻擊的重災區。銀行、信用卡公司及金融科技平臺處理大量包含信用卡和銀行賬戶信息在內的個人身份識別信息(PII),這些數據在暗網上具有極高變現價值。除此之外,該行業API接口的激增進一步擴大了攻擊面,使網絡犯罪分子能夠針對身份驗證和授權機制薄弱等漏洞發動攻擊,從而助長了賬戶接管和數據盜竊行為。
