Fortinet 2026年網頁應用程式安全報告：AI加速應用程式威脅演進，過半數組織API淪為資安盲點

AI擴張了應用程式攻擊面，55%企業視為主要威脅：整合AI的應用程式會動態生成API呼叫、於執行期間調整行為，並依情境串聯內外部服務鏈。這種高度動態的運作模式，使得傳統以固定資產清單與週期性政策更新為基礎的安全機制，難以真實反映現代應用環境。資安團隊難以完整盤點的AI整合應用與API端點，正迅速成為攻擊者鎖定的主要目標。調查顯示，AI生成或AI加速攻擊（55%）、影子或未歸檔的API（51%）及AI導入所帶來的漏洞（43%），已成為企業面臨的主要風險。同時，74%的受訪者表示，AI輔助的攻擊有所增加，其中35%認為增幅顯著。這類攻擊能持續測試憑證、系統性探測API，並動態調整行為以規避傳統防護機制。 

安全可視性盲區與高風險並存，僅13%企業高度掌握應用程式與API：報告顯示，僅13% 的組織極度有信心掌握其環境中使用的所有應用程式與API。67%受訪者將API視為風險最高的應用類型，更有53%坦言對其缺乏可視性。隨著AI加速應用環境變遷，包括動態生成端點、非正規的依賴關係增加，以及未受控管的影子AI工具，使得基於傳統資產清單的安全模型，難以因應現代應用程式的開發與部署模式。 

當防禦趕不上攻擊，過半數組織曾遭網頁應用程式或API資安事件：53%企業曾遭遇與網頁應用程式或API資安事件，僅20%的組織能在數小時內偵測到入侵，54%需一週以上，近三分之一甚至需耗時超過一個月；在事件補救措施上，68%需一天以上，39%更長達一個月以上才可控制事件。由於攻擊多發生於合法存取路徑中，例如當合作夥伴API因整合憑證遭破解造成資料外洩時，若偵測機制僅依賴特徵碼規則，往往難以及時示警，甚至可能數月後才由第三方發現、而非內部安全團隊。其根本原因在於訊號分散於不同系統：身分驗證顯示合法登入、API閘道呈現正常請求、應用日誌記錄例行操作，各系統僅掌握片段資訊，彼此缺乏整合，難以將威脅識別為具有關聯性的攻擊模式。 

工具碎片化加劇風險，僅5%受訪組織滿意現有資安工具：要將AI部署於適當的工作流程中，需要一個具備能將AI洞察轉化為行動的安全平台。然而僅5%受訪者表示對現有應用程式資安工具感到滿意。當前主要挑戰包含各工具間政策執行不一致、控制機制重複，以及網頁應用程式與API安全系統之間的遙測資料破碎化。此外，可視性不足（51%）、誤報率高（46%）及工具整合不佳（34%）等問題，在偵測與執行機制彼此獨立時，這些問題將變得更加嚴重。