AI不安全时代的API管理状况

API状态腐烂了。再说一次，这可能只是萎缩。

从那以后的15年亲戚建立API传教士，几乎没有API管理已经改变了。

API仍然是每个业务流程和技术都交织在一起的方式，它们是开发人员构建和访问数据的首选方式。当然，API蔓延的缩放量很大，应用表面积在其旁边扩展。但是各种规模的组织仍然在其API管道，可发现性，集成和文档中挣扎。

Lane在网络研讨会上说，``已经发生了增量变化，但我仍然进入了与2010年和11日相同的问题的企业组织。API报告的解剖结构。

他们对门户的了解不太了解[或]如何查看这些API。他们对与伴侣的使用方式没有太大的区别。他们害怕他们在大多数情况下已经公开可用。

的确，今年的报告中的数据反映了一个匿名的数据集，其中十亿个API请求，15,000个API和500,000个端点。是私人的或内部的，但实际上是公开公开的。

AI采用仅增加API蔓延，而API安全仍然黯淡。在跟踪的所有请求中，惊人的76％具有中等威胁水平，而85％的API不使用任何形式的费率限制。超过一半的人没有任何身份验证。

API管理仍然不是设计的战略性，也不是设计安全，这将机会从机遇转变为攻击向量。继续阅读，然后反映您组织的API计划如何衡量。

您的API程序是故意设计的吗？

莱恩说，API就像电力。它们是您的业务运营所必需的，但也许您不会考虑它们，直到您尝试扩展为止。

莱恩（Lane）观察到，正如个人消费者所观察到的那样，我们平均每天都会拨打10,000多个API呼叫，使API与我们所依赖的公用事业一样至关重要。

网络研讨会主持人说，您需要整个API景观才能无缝运行。Pratim Bhosale，Treblle的高级开发商倡导者认为，API结构对业务具有很高的影响。•如果您的API结构不够强大，并且您涉及您如何建立API的政策不够强大，那么这是一个令人震惊的企业。”

确实，莱恩（Lane）表示，随着采用量的扩展，多年来，这种API公用事业并没有太大变化。除了现在，组织比以往任何时候都必须证明有时15到20年的API蔓延的成本是合理的。

我们需要赚更多的钱。他说，我们需要提高效率。人们担心治理和产品。

然而，应用程序，数据和越来越多的AI之间的通信骨干仍然处于高管优先事项的底部。为什么？

他们很难看到。他们是数字化的。您如何看待API？人们没有谈论他们的第一方API及其在申请背后建立的API。

可观察性工具，文档，操场和沙箱是他建议提高API可见性的方式。当然，合作伙伴API会提供大量反馈。他强调，最重要的是，讲述有关查询参数，其他风险和API业务用例的故事。

您的内部API真的是私人的吗？

小组成员估计，普通公司将其API的约60％确定为私人或内部，另有30％为合作伙伴，仅为公众10％。他们的企业客户总是感到震惊地了解他们的错。

``每个人总是比内部的人更关心公众，因为他们觉得每个人都可以看到公众，没人知道内部的公共。VedranCindriä，Treblle可观察性和安全平台的首席执行官兼创始人。

莱恩经常通过下载其移动应用或访问其网站，然后逆向工程和代理API来开始客户参与度。然后，他可以打印出那些所谓的私人API开放API代码。突然，API发现，库存和安全感到更加紧迫。

莱恩说，在这些企业中，API正在扩大，它们在很大程度上不知道这些管道存在。”更不用说他们将如何将它们标准化并发展它们的对话。

从大开眼界开始，将API策略与业务目标联系起来。

他们希望员工再做10倍。他们希望能够削减10倍并提高效率。``您如何归结为对API所做的事情，我们对状态代码的治理，文档，摘要，清单，[和]规则？

他们可以开始估计API蔓延，但是证明一致状态代码的重要性更难。

然后，由于这些内部和外部，公共和私人API的界限变得模糊，因此很难确定哪些API对每个业务领域至关重要。

莱恩说，您有用于第三方使用的公共API，这意味着我们有意公开发布该公共使用供第三方人民食用。”其中包括合作伙伴API，但您再次可以信任和不受信任的合作伙伴。而且，当然，有无意的第三方API，您不知不觉地暴露的数据和API。

API对整体生产率趋势至关重要

随着行业越来越关注开发人员的生产率，消除冗余并鼓励再利用，必须对内部API给予更多关注。

在这里，您可以在这里获得最大的收益，因为您知道您会引入该管道的每一点点摩擦。那些是您自己放慢脚步的您自己的员工。这就是为什么莱恩认为您应该将其视为第一方API的原因。

您是自己的生产者和消费者。他们可以公开使用，您不谈论它们。他们蒙上阴影。他们隐藏了。他们没有确保。他们不一致

``API在这些企业中的一刻正在扩展，他们在很大程度上意识到这些管道存在，更不用说谈论它们如何使它们标准化并发展它们。”
Kin Lane，API传播者

考虑到这一点，大约十年前，新堆栈与《纽约时报》谈了为什么他们为什么狗食外部API因为他们的内部对业务的连续性至关重要。

在2025年，API管理差也反映在平台工程趋势，其中包括API发现在内的服务发现是开发人员想要解决的第一件事。像Treblle提供的API仪表板的需求不断，他赞助了网络研讨会并报告，以提高API，请求和响应的可见性。

API经济一直面临着感觉像是一个技术问题的挑战，而API建筑师可能难以谈论商业价值。任何API策略和随后的仪表板都必须能够向产品经理及其他地区传达业务价值。

但是，尤其是在经济低迷期间，莱恩指出，对教育和培训的投资减少了。只有大约10％的开发人员会停止阅读文档 - 也许通过像Github的Copilot这样的生成AI聊天机器人集成，而其他所有人都将朝着生产进行生产，'说。

更不用说正如Cindriä指出的那样，在这种增加的压力下，很少有这些开发人员有时间重新学习如何更好，更安全的API。

AI的崛起使API安全更糟

与所有代码一样，AI促进了API的另一种快速扩展，仅去年仅企业API增长了10％。

API状态报告发现，超过一半的API并不是Treblle所说的AI-Ready'不考虑消费LLM的构建。

AI还增加了API的复杂性。2023年的平均API有22个端点，而它在2024年有42个端点。就像放弃的容器和微服务坐在周围一样，没人真正知道该怎么办，其中35％是僵尸端点。

当然，所有这些甚至都没有考虑到，根据Gartner的说法，有71％的企业正在通过第三方消费API。正如马克·博伊德（Mark Boyd）在平台上写的那样2025年的API经济趋势，与AI相关的集成的增加只会增加安全性和复杂性风险。但是，另一方面，他继续说，AI在API发现中将是无价的。

尽管您的API有AI的局面，但我们知道大多数组织都在缩放AI生成的代码用例。自从更多的AI意味着更多的代码和更多的疑虑，毫不奇怪，API景观的安全性下降和增加的蔓延也不例外。

大多数AI支持的API都使用JavaScript基于基于语言，在大多数情况下，代理API。该报告还发现，基于JavaScript的API在所有语言中的质量和安全得分最低。平均API语言为100分中的57，而JavaScript获得42。

TREBLLE报告发现，API安全性的标准通常非常低，其中52％的请求审查没有任何形式的身份验证。除此之外，评估的所有API中有85％没有使用任何形式的限制速率，这使它们敞开了攻击。这再次指出了那些所谓的私人API实际上是多少。

除了在本文顶部共享的荒凉统计数据外，没有使用SSL或TSL加密的55％的请求。

该报告为企业API管理程序提供了100分之40的平均API安全评分。

新堆栈以前涵盖了准备的需求代理AI的API，在集成商不再是静态的，不可变的或人为主导的地方，而是对基于任务的机器人的响应旋转以实现特定目标。此时，短暂的整合成为常态，组织可以负担留下开放式终点或将其带到死胡同。

无论您是今年是否全力以赴，都显然您的组织需要在2025年投资更好的API策略。