近日，全球領(lǐng)先的技術(shù)與安全服務(wù)商泰雷茲發(fā)布了《2025年Imperva惡意爬蟲報(bào)告》，全面分析了全球網(wǎng)絡(luò)的自動化爬蟲流量的最新趨勢。今年的報(bào)告是第12次年度研究報(bào)告，它揭示了生成式人工智能（AI）的普及正在徹底改變爬蟲的開發(fā)模式，使得技術(shù)能力有限的攻擊者通過更高頻次而產(chǎn)生大規(guī)模爬蟲攻擊。如今，在日益商業(yè)化的“爬蟲即服務(wù)”（BaaS）生態(tài)系統(tǒng)中，攻擊者甚至?xí)肁I技術(shù)分析失敗攻擊案例，并優(yōu)化攻擊技術(shù)，從而更高效地規(guī)避安全檢測。

2024年，自動化爬蟲流量十年來首次超過了業(yè)務(wù)正常的流量，占全球網(wǎng)絡(luò)流量的51%。這一轉(zhuǎn)變主要源于AI和大語言模型（LLM）的普及，它們大幅降低了惡意爬蟲的創(chuàng)建與規(guī)?；渴痖T檻。隨著AI工具獲取難度逐漸降低，網(wǎng)絡(luò)犯罪分子正越來越多地利用這些技術(shù)來創(chuàng)建和部署惡意爬蟲。目前惡意爬蟲產(chǎn)生的流量占全球網(wǎng)絡(luò)流量的37%，較2023年的32%有了顯著增長。這是惡意爬蟲活動連續(xù)第六年呈現(xiàn)上升趨勢，對企業(yè)數(shù)字資產(chǎn)安全構(gòu)成持續(xù)威脅。

旅游和零售行業(yè)面臨尤為嚴(yán)峻的高級爬蟲威脅，其惡意爬蟲流量占比分別達(dá)41%和59%。2024年旅游業(yè)成為受攻擊最嚴(yán)重的領(lǐng)域，占所有爬蟲攻擊的比例從2023年的21%上升至27%。2024年最值得注意的變化趨勢是，針對旅游業(yè)的高級爬蟲攻擊占比從2023年的61%降至41%，而簡單爬蟲攻擊占比則從2023年的34%飆升至52%。這種變化表明AI驅(qū)動的自動化工具降低了攻擊者的技術(shù)門檻，使得水平有限的攻擊者亦能發(fā)起更多簡單的爬蟲攻擊。網(wǎng)絡(luò)罪犯正放棄單一依賴復(fù)雜技術(shù)手段，轉(zhuǎn)而通過大量簡單爬蟲來密集式攻擊旅游網(wǎng)站，導(dǎo)致攻擊頻次和范圍持續(xù)擴(kuò)大。

AI驅(qū)動爬蟲的崛起： 網(wǎng)絡(luò)安全挑戰(zhàn)的新時(shí)代

以ChatGPT、ByteSpider Bot、ClaudeBot、Google Gemini、Perplexity AI和Cohere AI為代表的先進(jìn)AI工具的出現(xiàn)，不僅改變了用戶交互方式，更重塑了網(wǎng)絡(luò)攻擊的實(shí)施手段。Imperva 威脅研究團(tuán)隊(duì)指出，當(dāng)前主流AI工具正被廣泛用于網(wǎng)絡(luò)攻擊，其中僅ByteSpider Bot就占所有AI驅(qū)動攻擊的54%，其他主要攻擊源還包括AppleBot（占比26%）、ClaudeBot（占比13%）以及ChatGPT User Bot（占比6%）。

泰雷茲應(yīng)用安全總經(jīng)理Tim Chang表示：“AI驅(qū)動的爬蟲數(shù)量激增，對全球企業(yè)構(gòu)成嚴(yán)峻威脅，隨著自動化流量占比已超過所有網(wǎng)絡(luò)活動的一半，日益泛濫的惡意爬蟲讓企業(yè)面臨持續(xù)升級的安全風(fēng)險(xiǎn)。”

隨著攻擊者對AI工具運(yùn)用日益純熟，其攻擊手段已覆蓋分布式拒絕服務(wù)（DDoS）攻擊、定制化規(guī)則濫用及API違規(guī)等多重網(wǎng)絡(luò)威脅。爬蟲攻擊日趨復(fù)雜化，這也給檢測工作帶來更大挑戰(zhàn)。

Chang補(bǔ)充道：“今年的報(bào)告揭示了爬蟲攻擊手法的不斷演化。曾經(jīng)的高級規(guī)避技術(shù)如今已成許多惡意爬蟲的標(biāo)配。在快速演變的網(wǎng)絡(luò)環(huán)境中，企業(yè)必須不斷調(diào)整他們的防御策略，關(guān)鍵是要采取靈活且主動的方法，利用先進(jìn)的爬蟲檢測工具和全面的網(wǎng)絡(luò)安全管理解決方案，針對不斷變化的爬蟲威脅建立彈性防御體系。”

針對API業(yè)務(wù)邏輯的惡意爬蟲對現(xiàn)代企業(yè)的威脅日益嚴(yán)重

Imperva 威脅研究團(tuán)隊(duì)的最新發(fā)現(xiàn)表明，針對API的攻擊呈現(xiàn)激增態(tài)勢，高級爬蟲流量中有44%專門瞄準(zhǔn)API。這類攻擊并不僅限于癱瘓API端點(diǎn)，而是針對定義API運(yùn)行模式的復(fù)雜業(yè)務(wù)邏輯。攻擊者通過部署特制爬蟲，專門利用API工作流程中的漏洞，實(shí)施自動化支付欺詐、賬戶劫持和數(shù)據(jù)竊取。

該報(bào)告分析表明，網(wǎng)絡(luò)攻擊者正有策略地針對高價(jià)值敏感數(shù)據(jù)的API端點(diǎn)展開攻擊。這一趨勢對依賴以API為核心業(yè)務(wù)和交易的行業(yè)影響尤為嚴(yán)重，其中金融服務(wù)、醫(yī)療健康和電子商務(wù)產(chǎn)業(yè)受攻擊最為嚴(yán)重，成為黑客竊取敏感信息的主要目標(biāo)。

作為現(xiàn)代應(yīng)用程序的支柱，API可以實(shí)現(xiàn)跨服務(wù)連接、優(yōu)化業(yè)務(wù)流程，同時(shí)大規(guī)模提供個(gè)性化用戶體驗(yàn)。API為支付處理、供應(yīng)鏈管理和AI驅(qū)動分析等核心功能提供支持，在提升運(yùn)營效率、加速產(chǎn)品開發(fā)和開辟新營收渠道方面發(fā)揮不可替代的作用。

Chang警示道：“雖然API固有的業(yè)務(wù)邏輯功能強(qiáng)大，卻也造就了讓攻擊者虎視眈眈的特有漏洞。如果企業(yè)要采用云服務(wù)和微服務(wù)架構(gòu)，就必須認(rèn)識到，正是那些使API不可或缺的特性，同時(shí)也可能成為欺詐和數(shù)據(jù)泄露的突破口?！?/p>

金融服務(wù)、醫(yī)療保健和電子商務(wù)行業(yè)面臨更高風(fēng)險(xiǎn)

《2025年Imperva惡意爬蟲報(bào)告》深入分析指出，金融服務(wù)、醫(yī)療保健和電子商務(wù)是當(dāng)前受影響最嚴(yán)重的行業(yè)，這些行業(yè)普遍依賴API進(jìn)行關(guān)鍵業(yè)務(wù)和敏感交易，令其成為復(fù)雜爬蟲攻擊的重點(diǎn)目標(biāo)。

報(bào)告指出，金融服務(wù)業(yè)成為賬戶接管（ATO）攻擊的首要目標(biāo)，占比高達(dá)所有ATO攻擊事件的22%，緊隨其后的是電信與互聯(lián)網(wǎng)服務(wù)提供商（18%）以及計(jì)算機(jī)與IT行業(yè)（17%）。由于賬戶價(jià)值高且涉及敏感數(shù)據(jù)，金融服務(wù)業(yè)長期是ATO攻擊的重災(zāi)區(qū)。銀行、信用卡公司及金融科技平臺處理大量包含信用卡和銀行賬戶信息在內(nèi)的個(gè)人身份識別信息（PII），這些數(shù)據(jù)在暗網(wǎng)上具有極高變現(xiàn)價(jià)值。除此之外，該行業(yè)API接口的激增進(jìn)一步擴(kuò)大了攻擊面，使網(wǎng)絡(luò)犯罪分子能夠針對身份驗(yàn)證和授權(quán)機(jī)制薄弱等漏洞發(fā)動攻擊，從而助長了賬戶接管和數(shù)據(jù)盜竊行為。