今天，全球領先的網絡安全領導者泰雷茲（Thales）宣布發布《2024年Imperva惡意機器人報告》（2024 Imperva Bad Bot Report），對全球互聯網上的自動化機器人流量進行了全面分析。 2023年，近一半（49.6%）的網絡流量來自機器人，比上一年增長了2%，這是Imperva自2013年開始監測自動化流量以來報告的最高水平。

與惡意機器人相關的網絡流量占比連續第五年呈現增長趨勢，從2022年的30.2%增長至2023年的32%，而來自人類用戶的流量則持續下降至50.4%。每年，自動化流量對網站、API和應用程序的攻擊給企業造成數十億美元的損失。

泰雷茲旗下的Imperva應用安全總經理Nanhi Singh表示：“機器人是每個行業面臨最普遍且增長最快的威脅之一。從簡單的網絡爬取到惡意帳戶接管、垃圾郵件和拒絕服務，機器人通過降低在線服務質量，并要求在基礎設施和客戶支持方面進行更多投資，從而對企業的利潤造成負面影響。由于攻擊者將注意力集中在可能導致帳戶被盜用或數據泄漏的 API相關濫用行為上，企業必須積極應對惡意機器人的威脅。”

《2024年Imperva惡意機器人報告》中提及的主要趨勢包括：

• 全球平均惡意機器人流量達到32%：愛爾蘭（71%）、德國（67.5%）和墨西哥（42.8%）是2023年惡意機器人流量最高的國家。與2022年（32.1%）相比，美國的惡意機器人流量比例也略高，達到35.4%。

• 生成式AI的使用越來越多，這與簡單機器人的興起有關：生成式AI和大語言模型（LLM）的快速崛起，導致簡單機器人的比例從2022年的33.4%增加至2023年的39.6%。 該技術使用網絡爬蟲機器人和自動化爬蟲來訓練模型，同時讓非技術用戶能夠自行編寫自動化腳本。

• 帳戶接管是持續存在的業務風險：與上一年同期相比，2023年的帳戶接管（ATO）攻擊增加了10%。 值得注意的是，44%的ATO攻擊均針對API端點，而2022年這一比例為35%。在互聯網上的所有登錄嘗試中，有11%與帳戶接管相關。2023年，遭受ATO攻擊最多的行業分別是金融服務業（36.8%）、旅游業（11.5%）和商業服務（8%）。

• API是攻擊的流行途徑：2023年，自動化威脅導致的API攻擊占比高達30%。其中，17%是惡意機器人利用業務邏輯漏洞，即API設計和實施中的缺陷，使攻擊者能夠操縱合法功能并訪問敏感數據或用戶的帳戶。網絡罪犯使用自動化機器人查找并利用API，把它當作訪問敏感數據的直接途徑，使其成為業務邏輯漏洞的主要目標。

• 所有行業都面臨機器人問題：游戲產業（57.2%）的惡意機器人流量連續第二年占比最大。與此同時，零售業（24.4%）、旅游業（20.7%）和金融服務業（15.7%）遭受的機器人攻擊數量最高。在法律與政府（75.8%）、娛樂（70.8%）和金融服務（67.1%）網站上，高級惡意機器人（即那些極力模仿人類行為并逃避防御的機器人）占比最高。

• 來自住宅網絡服務提供商的惡意機器人流量增至25.8%：早期的惡意機器人規避技術依賴于偽裝成合法人類用戶常用的用戶代理（瀏覽器）。在過去一年，偽裝成移動用戶代理的惡意機器人占所有惡意機器人流量的44.8%，高于五年前的28.1%。 進階行動者將移動用戶代理與住宅或移動ISP的使用相結合。住宅代理允許機器人運營商通過偽裝成流量來源是由 ISP 分配的合法住宅 IP 地址來逃避檢測。

Singh補充道：“自動化機器人將很快超越來自人類的網絡流量比例，從而改變企業構建和保護其網站、應用程序的方式。隨著更多人工智能工具的推出，機器人將變得無處不在。企業必須投資機器人管理和API安全工具，以管理來自惡意自動化流量的威脅。”