2025年，Imperva发布了第12次年度研究报告《2025年Imperva恶意爬虫报告》，揭示了全球网络自动化爬虫流量的新趋势。报告指出，2024年自动化爬虫流量首次超过了正常业务流量，占全球网络流量的51%。其中，恶意爬虫流量占比达到37%，较2023年的32%显著增长，这标志着网络犯罪分子正越来越多地利用生成式人工智能（AI）工具，如ChatGPT、ByteSpider Bot、ClaudeBot等，来创建和部署恶意爬虫。 AI的普及大幅降低了恶意爬虫的创建门槛，使得技术能力有限的攻击者能够更频繁地发起攻击。过去一年中，旅游和零售行业受到的恶意爬虫攻击尤为严重，其中零售行业的恶意爬虫流量占比达59%，旅游行业则从2023年的21%上升至27%，主要受到大量简单爬虫密集式攻击的影响。这些攻击不仅试图瘫痪网站，还利用API工作流程中的漏洞，实施大规模支付欺诈、账户劫持和数据窃取。 报告进一步指出，2024年针对API的攻击激增，占所有高级爬虫流量的44%。这些攻击集中在金融服务、医疗保健和电子商务行业，这些行业的API通常处理大量敏感信息。特别是金融服务业，成为账户接管（ATO）攻击的首要目标，占比高达22%。由于金融行业涉及大量的个人身份识别信息（PII）和高价值账户，使得该领域成为网络犯罪分子的重点关注对象。另外，电信与互联网服务提供商（18%）和计算机与IT行业（17%）也面临较高的攻击风险。 泰雷兹应用安全总经理Tim Chang表示：“AI驱动的爬虫数量激增，对全球企业构成了严峻威胁。自动化流量已占全球网络活动的一半以上，使得恶意爬虫攻击变得更加难以检测和防御。企业需要不断调整防御策略，采用灵活且主动的方法，利用先进的爬虫检测工具和全面的网络安全管理解决方案，建立弹性防御体系。” 爬虫攻击手段的多样化和复杂化是当前网络安全的一大挑战。除了传统的方法，如分布式拒绝服务（DDoS）攻击，攻击者还利用AI工具改进攻击技术，使其能够更加高效地规避传统安全检测。因此，企业不仅要加强API的安全防护，还需要提升整体网络安全管理水平，确保能够应对不断变化的威胁。 最终，报告强调了API在现代企业中的重要性。API不仅支持核心业务功能，如支付处理、供应链管理和AI驱动的分析，还极大地提高了业务效率和用户体验。然而，这种技术的广泛应用也带来了新的安全风险，特别是针对业务逻辑的复杂攻击。Chang警示道，“尽管API具有强大的业务逻辑功能，但也为攻击者提供了新的漏洞。企业在享受API带来的便利时，必须密切关注其安全特性，及时发现和修补潜在的漏洞。” 业内人士对此报告给予了高度评价。《2025年Imperva恶意爬虫报告》的数据详实、分析透彻，为企业提供了宝贵的洞见，帮助其理解和应对日益增长的自动化攻击风险。报告的发布者泰雷兹是全球领先的技术与安全服务商，业务范围涵盖航空、航天、网络与数字技术等多个领域，2024年销售收入达到206亿欧元。泰雷兹每年投入超过40亿欧元的研发资金，专注于人工智能、网络安全、量子科技和云技术等关键领域，为全球83000多名员工提供技术支持。