近年生成式人工智能（Generative AI）發展蓬勃，已成為企業營運不可或缺的工具。在這股浪潮中，應用程式介面（API）扮演著不可或缺的橋樑角色，它負責連接各種應用、雲端服務以至大型語言模型（LLM）。正因為企業最有價值的數據和資產都可透過 API 存取，使其成為網絡攻擊的重點目標。全球網絡安全領域的領先企業 Thales 之旗下 Imperva 指出，針對 API 的攻擊在過去四、五年呈直線上升趨勢，而要攔截這種被黑客視為高回報率的攻擊手法，僅依靠傳統方法已難以應付。

API攻擊直線上升　BOLA漏洞成頭號威脅

Thales API 安全產品副總裁 Lebin Cheng 指出，API 安全漏洞並非新鮮事，但其嚴重性隨著應用模式的改變而急劇升溫。「以往很多應用程式和 API 只在企業內部網絡使用，環境相對受信任，但當企業將應用遷移上雲，或因業務需要將內部 API 開放給外部合作夥伴甚至公眾使用時，潛在的漏洞便會浮現。」他補充說，近年生成式 AI 的興起更是火上加油，因為絕大多數 AI 服務都是透過 API 來調用 LLM 模型，每一次調用都可能成為潛在的攻擊路徑。

在眾多 API 威脅中，OWASP（開放式 Web 應用程式安全專案）將「BOLA」（Broken Object Level Authorization，失效的物件級別授權）列為 API 安全十大威脅之首。Lebin 解釋，BOLA 漏洞的原理在於應用程式雖然驗證了用戶的登入身份，卻沒有在後續操作中持續驗證其權限，因此攻擊者只需以合法用戶身份登入，然後在 API 請求中竄改物件 ID，便能輕易繞過存取控制，竊取、修改甚至刪除其他用戶的敏感資料。

AI成業務關鍵　API安全由「選項」變「必修」

儘管 API 安全風險日益增高，但在企業內部推動安全改革卻非一帆風順。Thales 應用與數據安全業務技術總監 Richard Chiu 觀察到，本地企業的資訊安全長（CISO）普遍意識到 API 安全的嚴重性，然而在實際推動改革時卻往往面臨組織架構的挑戰。Richard 認為生成式 AI 的崛起正徹底改變這個局面，「現在 AI 應用已成為業務增長的關鍵，這些服務必須連接互聯網才能發揮價值，這盤生意是『非做不可』的。」這種業務上的必然性，使得管理層無法再對 API 安全掉以輕心，他預期市場對 API 安全的重視程度在來年將會提升至一個新層次。

傳統防禦失效　黑客藉AI發動精準打擊

傳統的網絡安全防禦法是因應漏洞或威脅編寫特徵碼（Signature），進行針對性堵塞及攔截，但 Lebin 強調：「既然現在的應用程式設計五花八門，漏洞模式千變萬化，我們就應該將焦點從『攻擊特徵』轉移到『用戶行為』上。」其概念是先觀察並學習一個用戶正常的 API 調用行為模式，為其建立獨特的「行為寫照」，例如網上銀行的普通用戶正常只會查詢自己名下的一、兩張信用卡，一旦系統偵測到該用戶突然開始查詢數個不同的信用卡號碼，即使每次都是一個合法的 API 請求，這種偏離正常行為的舉動也會被立即標記為高度可疑，並觸發應對措施。

為將此新理念落地，Imperva 提出了「治未病」的三步曲實踐方案。第一步是「探索」（Discover），不僅是清點企業擁有多少個 API，更要深入分析每個 API 正在傳輸什麼類型的數據；第二步是「評估」（Assess），在掌握 API 資產全貌後，對其進行風險評估，找出最脆弱、最重要的環節，以便聚焦防禦資源。第三步，也是整個防禦體系核心的「實時偵測與回應」（Detect and Respond）。系統會對所有 API 流量進行 24x7 的實時監控，並利用前述的行為分析引擎，精準捕捉異常行為。

Lebin 特別強調其在「回應」機制上的創新：「傳統的應對方式是封鎖攻擊者的 IP 地址，但在雲端時代，這就像治療癌症時使用化療，好壞細胞通殺。」Thales 採用的則是更精準的「標靶治療」，「我們的系統會追蹤到每一個獨立的用戶會話。一旦發現某個會話出現惡意行為，我們會立即終止這一個會話，而不會影響其他正常 API 調用。」這種外科手術式的精準打擊，確保了在消除威脅的同時，對業務的影響降至最低。

Lebin 最後總結，API 安全已非單一產品可以解決的問題，它需要與 Bot 防護、應用安全等傳統領域相結合，形成一個聯防體系。在 API 無處不在的今天，企業不能再抱持「亡羊補牢」的心態，唯有採取「治未病」的策略，才能在享受 API 帶來便利的同時，真正做到防患於未然。

如果想了解更多應用安全方案，可致電 2156 3929 或電郵至 [email protected]。

代理式人工智能（Agentic AI）近年成投資焦點，超過一半亞太地區與日本企業計劃於 2026 年底前部署。UiPath 近日公布 2026 年六大關鍵趨勢，相信 AI 會進一步帶來投資回報及擴大業務影響力，未來職場工作將由人類、人工智能代理及機械人分擔，「協調」將會成為企業重點。

要提高生產力、效率，工作流程順暢且自動化，UiPath 香港高級銷售工程師劉銘賢指出：「唔係所有位都擺 AI 就得。」背後尚有各式各樣的系統、API，故必須引入「協調」概念。即使企業想擴大規模，「唔一定要用好多 Agent，但要協調」。

UiPath 大中華區區域副總裁陳名璋則認為，未來職場將由人工智能代理（AI Agent）負責思考，機械人（Robot）負責執行，而人類（People）則負責領導，能夠協調三者的完整解決方案是未來趨勢。

預測 2026 年，UiPath 相信有六大關鍵趨勢：

趨勢一：亞太區與日本市場崛起成為全球人工智能創新樞紐 – 亞太區與日本市場正從全球解決方案的主要採納者，轉型為技術的開發者和輸出者 ，藉此利用中國、台灣、日本、印度和敏捷的東南亞生態系統等多元化市場的集體優勢，向全球輸出突破性的人工智能創新成果 。

對於香港而言，劉銘賢指出最大困難在於人才短缺，「AI Specialist 唔係淨係識得睇 AI，要知 Data、Data Security、Machine Learning，甚至要知道 Business Context，精通咁多樣嘢嘅人，係香港係難搵嘅」。

此外，香港企業始終相當重視投資回報率（ROI），難以踏出第一步，他坦言：「如果冇 Practice Stage，Fail 嘅機會好高。」他建議企業應在非核心業務上先試一試，取得實際經驗，獲得「AI Muscle memory」，「就算突然有個 Use case 好正，想用，都至少之前試過」。

趨勢二：從炒作到價值：人工智能投資要求可量化的回報 – 機構正在加強人工智能投資 ，亞太地區與日本市場的企業高層要求在部署人工智能後 12 至 18 個月內實現 2 至 4 倍的投資回報率（ROI） 。在香港這樣營運成本高昂的環境中，企業將期望人工智能代理能提供切實的投資回報路徑 。

趨勢三：從降低成本到開拓收入：人工智能擴大業務影響力 – 人工智能代理能夠自主推理、規劃和執行複雜工作流程 ，將被視為增長引擎，透過把人工智能嵌入營運核心來釋放新的收入來源，超越其傳統上僅作為提升效率的工具 。

趨勢四：協調作業：代理式人工智能將釋放企業人工智能大規模應用 – 協調作業至關重要，它彌補了孤立工作流程之間的差距，使企業能夠協調、控制和完善人工智能代理、機械人流程自動化（RPA）和人類在點對點的代理式工作流程和系統中的工作 ，從而帶來顯著的競爭優勢 。

趨勢五：信任主導人工智能的增長軌跡 – 在 2026 年，「信任」將成為新貨幣 ，因為數據管治、可解釋性、安全性和合規性被視為與技術本身同樣重要，是擴展人工智能應用規模的堅實基礎 。香港的普通法制度和金融監管專業知識為穩健的人工智能管治奠定了基礎 。

趨勢六：歡迎來到代理式勞動力時代 – 代理式人工智能正在重新分配人類、人工智能代理和機械人之間的任務，從根本上改變完成工作的方式。由於人工智能的影響，到 2030 年，70% 在大多數工作所需的技能將從根本上發生變化，這將要求新的技能組合。