Akamai：AI爬蟲激增300%，算法戰正吞噬企業利潤與數據安全

來源：環球網

【環球網科技報道 記者 林迪】Akamai最新發布的《2025年數字欺詐與濫用報告》揭示了一個正在重塑互聯網生態的隱祕威脅：AI驅動的惡意爬蟲程序在過去一年內流量暴增300%，其活動不僅擾亂網站性能、扭曲業務指標，更在無聲中蠶食企業利潤與核心數據資產。

報告顯示，傳統的「價格戰」已悄然升級為一場看不見硝煙的「算法戰」，而大多數企業尚未建立有效防禦體系。

AI爬蟲流量激增，惡意佔比超六成

報告顯示，當前互聯網流量中高達42.1%來自各類爬蟲程序，其中65.3%被歸類為惡意爬蟲。更令人警惕的是，在這些惡意爬蟲中，63.1%已採用先進技術手段，包括行為模擬、動態請求調整和多步驟邏輯逆向工程，使其極難被傳統防護機制識別。

「AI爬蟲程序的興起，已不再僅僅是安全團隊所關注的問題，而是上升爲董事會必須應對的戰略要務。」Akamai應用程序安全部高級副總裁兼總經理Rupesh Chokshi強調，「業務負責人必須立即行動起來，構建能夠確保AI落地、管理動態風險並保障數字運營安全的框架，否則就會陷入被動。」

儘管AI爬蟲目前在總流量中佔比尚不足1%，但其增長速度與破壞力不容小覷。以商業行業為例，在短短兩個月觀察期內，AI爬蟲發起的請求數量超過250億次；而在數字媒體發行領域，AI爬蟲觸發的流量佔比約10%，其中出版業佔據了63%的主導地位，成為受衝擊最嚴重的行業。

AI爬蟲對不同行業的攻擊呈現出顯著差異，根源在於各行業數據價值與安全威脅類型的雙重驅動。

Akamai大中華區售前技術經理 馬俊

在電商領域，近一半（47%）的AI爬蟲流量集中於此，主要目標是實時抓取價格、庫存及促銷信息。「購物季、線上價格頻繁變動等客觀因素驅動了大量AI爬蟲活動。」Akamai大中華區售前技術經理馬俊在採訪中解釋，「這些數據被用於模型訓練或比價工具，導致企業營銷效果失真、廣告投入浪費，甚至引發‘數字掠奪’型攻擊。」

金融行業雖僅佔4%的爬蟲流量，卻承受着高強度攻擊——銀行機構遭受的攻擊量是保險業的6倍，達10億次規模。其中80%為訓練類爬蟲，旨在獲取高價值金融數據以支撐投資決策模型。然而，更大的風險來自「釣魚攻擊」：攻擊者利用爬取的數據偽造銀行網站，竊取用户賬號密碼，直接威脅客户資產安全。

醫療健康行業則面臨90%以上的AI爬蟲活動源於內容抓取。「醫療數據對AI模型訓練具有特殊價值，」馬俊指出，「一旦泄露，不僅造成鉅額合規罰款，還可能因勒索軟件鎖定病歷系統而被迫支付贖金。」

出版與數字媒體行業則遭遇「零點擊搜索」的致命打擊。原本依賴搜索引擎引流實現廣告變現的模式被顛覆——AI爬蟲直接抓取優質內容用於模型訓練，導致‘零點擊搜索’現象頻發，直接造成廣告收入下滑和流量流失，嚴重衝擊了商業模式。。「這意味着直接的財務損失與業務數據下滑，」馬俊坦言，「對出版業而言，AI Bot的影響是無可忽視的。」

從「好/壞二分」到「影響導向」，探索AI爬蟲共存新路徑

過去，企業常將爬蟲簡單劃分爲「好」（如Googlebot）與「壞」（如盜號腳本）。但AI爬蟲的出現模糊了這一界限。搜索引擎爬蟲通常遵循robots.txt協議、主動聲明身份，行爲規範；而AI爬蟲則更具隨機性與目的性，可能基於用户實時查詢臨時抓取，且不遵守傳統規則。

「所謂‘好’與‘壞’，不再取決於爬蟲本身屬性，而應基於其對企業和業務的實際影響來判斷——是有益助力，還是額外負擔。」馬俊強調。

在此背景下，Akamai倡導建立「以AI對抗AI」的防禦體系。其解決方案通過四層架構實現綜合治理：資產發現，全面識別所有API，包括「影子API」，消除管理盲區；態勢管理，基於OWASP等標準主動檢測漏洞，優先治理高風險接口；運行時保護，運用AI實時反制探測行為，動態識別並預警新型攻擊；安全測試，結合靜態代碼掃描與滲透測試，提前修復潛在漏洞。

「我們實際上是在與時間賽跑，」馬俊表示，「如果能夠將API治理推進到理想狀態，就有能力應對那些日益智能、高速的AI技術挑戰——它們本質上仍是技術手段，只不過效率更高、速度更快。」

面對無法完全阻斷的AI流量，部分行業開始探索合規共存與價值轉化機制。以出版業為例，Akamai聯合TollBit與Skyfire推出基於「HTTP 402標準」的內容計費與變現平臺。當AI爬蟲請求訪問時，系統可自動生成支付憑證，按請求量或數據規模收費，使內容抓取轉化為收入來源。

「儘管真實用户訪問可能減少，但通過AI Bot帶來的請求可實現收入補償，甚至開闢新的增長點，」馬俊解釋道，「這纔是適用於出版業的AI Bot策略。」

與此同時，跨國企業在數據抓取合法性方面面臨複雜合規挑戰。各國對數據跨境、隱私保護及AI監管要求各異。對此，Akamai建議企業從四方面構建合規策略：識別風險並分類數據；重點關注跨境傳輸合規；藉助OWASP等技術框架落地防護；建立法務、安全、開發等多部門協同機制。

「合規治理不僅是技術問題，更涉及企業內部多部門協作，」馬俊指出，「企業應形成內部合力，共同構建並落實合規清單。」

警惕「未知的未知」：中小企業如何低成本防禦

對於資源有限的中小企業，全面部署高級防護似乎遙不可及。但馬俊強調，OWASP框架本身具備普適性，關鍵在於選擇合適的技術路徑。

他提出六大評估維度：技術先進性（是否具備AI對抗能力）、持續迭代能力、全面可觀測性、準確性與魯棒性、可操作性（支持SOC/SIEM集成）以及合規性。「安全供應商應具備持續服務和技術迭代能力，能夠長期支持企業成長。」

更重要的是，企業需根據自身行業特性確定防護優先級。金融企業應聚焦身份驗證與撞庫攻擊防護；醫療機構則需嚴防PII（個人可識別信息）泄露風險；電商則要防範價格抓取與Magecart注入攻擊。

「圍繞自身行業特點與面臨的風險，確定相應的防護優先級，」馬俊建議，「選擇能夠全面、快速覆蓋OWASP框架的解決方案，以便高效落地並系統應對各類安全風險。」

儘管AI爬蟲威脅日益嚴峻，當前企業普遍仍處於「觀察為主」的階段。這種態度源於對誤攔業務流量的擔憂，但也暴露了防禦體系的滯后。

「忽視這類流量將直接導致業務目標無法達成，並引入新的風險，」馬俊呼籲企業立即採取五項行動：採用基於風險的Bot管理方法、監控AI抓取活動、部署AI特定安全控制、利用安全框架（如OWASP）、實施全面API安全策略。