《2025年Imperva恶意爬虫报告》指出，AI技术推动难以检测的恶意爬虫数量激增，占全球网络流量的比重已经超过一半。 近日，全球领先的技术与安全服务提供商泰雷兹发布了《2025年Imperva恶意爬虫报告》，分析了全球网络自动化爬虫流量的最新趋势。今年是该报告的第12次发布，报告揭示了生成式人工智能（AI）的普及正在彻底改变恶意爬虫的开发模式，使得即便是技术能力有限的攻击者也能频繁发起大规模攻击。在不断增强的“爬虫即服务”（BaaS）生态系统中，攻击者甚至利用AI技术分析失败案例，优化攻击策略，进一步规避安全检测。 2024年，自动化爬虫流量首次超过正常业务流量，占全球网络流量的51%。这一变化主要是由于AI和大语言模型（LLM）的普及，这些技术大幅降低了恶意爬虫的创建和规模化部署门槛。报告显示，2024年恶意爬虫流量占全球网络流量的37%，比2023年的32%显著增长，已经连续六年呈现上升趋势，对企业数字资产安全构成持续威胁。 旅游和零售行业面临特别严峻的恶意爬虫威胁。2024年，旅游业遭受的恶意爬虫攻击从2023年的21%上升至27%，成为受攻击最严重的领域。同时，该行业的恶意爬虫流量占比从2023年的61%降至41%，简单爬虫攻击占比则从2023年的34%飙升至52%。这种变化表明，AI驱动的自动化工具降低了攻击者的进入门槛，使得技术水平较低的攻击者也能发起大量简单的爬虫攻击，网络犯罪分子正通过这种策略密集式攻击旅游网站，导致攻击频次和范围不断扩大。 Imperva威胁研究团队指出，当前主流的AI工具，如ChatGPT、ByteSpider Bot、ClaudeBot、Google Gemini、Perplexity AI和Cohere AI，已被广泛用于网络攻击。其中，ByteSpider Bot占所有AI驱动攻击的54%，其他主要攻击源包括AppleBot（26%）、ClaudeBot（13%）和ChatGPT User Bot（6%）。 泰雷兹应用安全总经理Tim Chang表示：“AI驱动的爬虫数量激增，对全球企业构成了严峻威胁。随着自动化流量占比超过所有网络活动的一半，恶意爬虫的泛滥让企业面临持续升级的安全风险。” 随着攻击者对AI工具运用的日益熟练，他们的攻击手段已经涵盖了分布式拒绝服务（DDoS）攻击、定制化规则滥用和API违规等多种威胁。这些攻击的复杂性日益提高，给检测工作带来了更大的挑战。Chang补充道：“今年的报告揭示了爬虫攻击手法的不断演化。曾经的高级规避技术现在已成为许多恶意爬虫的标准配置。在快速变化的网络环境中，企业必须不断调整其防御策略，采用灵活且主动的方法，利用先进的爬虫检测工具和全面的网络安全管理解决方案，建立对不断变化的爬虫威胁的弹性防御体系。” 针对API业务逻辑的恶意爬虫攻击日益严重。根据Imperva威胁研究团队的最新发现，高级爬虫流量中有44%专门瞄准API。这些攻击不仅试图瘫痪API端点，还专门针对定义API运行模式的复杂业务逻辑，利用API工作流程中的漏洞实施自动化支付欺诈、账户劫持和数据窃取。报告特别指出，依赖API进行关键业务和敏感交易的行业——如金融服务、医疗保健和电子商务——面临更高的风险。 金融服务行业尤其容易成为账户接管（ATO）攻击的目标，占所有ATO攻击事件的22%。其次是电信与互联网服务提供商（18%）和计算机与IT行业（17%）。由于金融机构处理大量包含信用卡和银行账户信息的个人身份识别信息（PII），这些数据在暗网上具有极高价值，网络犯罪分子正利用API接口的增加，针对身份验证和授权机制薄弱的漏洞发动攻击，从而助长了账户接管和数据盗窃行为。 《2025年Imperva恶意爬虫报告》由Imperva威胁研究团队与安全分析服务（SAS）团队联合编制，基于2024年Imperva全球网络拦截的13万亿次恶意爬虫请求数据。这些数据涵盖了数千个领域和行业，为组织提供了关于爬虫活动的关键洞见，帮助其理解并应对日益增长的自动化攻击风险。 泰雷兹是全球先进科技的领导者之一，专注于航空、航天、网络和数字技术等领域。集团每年投入超过40亿欧元研发资金，用于人工智能、网络安全、量子科技和云技术等关键创新领域。泰雷兹在全球68个国家和地区拥有83000余名员工，2024年的销售收入达206亿欧元。 访问泰雷兹集团网站了解更多信息，包括其网络安全产品和解决方案。 免责声明：本公告的原文版本乃官方授权版本。译文仅供参考，如有歧义，以原文版本为准，原文版本具有法律效力。