一間法國公司公布,機械人現時主宰互聯網,佔所有流量的逾半,其中 40% 被歸類為惡意。Thales 在一份報告中指出,2025 年 AI 驅動的機械人攻擊較前一年激增 12.5 倍。報告標題為「2026 Bad Bot Report: Bad Bots in the Agentic Age」,揭示互聯網運作方式出現根本轉變,因為 AI 加速自動化已成為現代數碼基建的定義特徵。
報告顯示,AI 不僅增加機械人活動的數量,更從根本上改變其性質。
AI 抹去合法與惡意活動的分界線
報告亦強調,AI 正抹去合法與惡意活動的分界線,令意圖 – 而非身份 – 成為新的安全挑戰。API 同身份系統成為首要目標,攻擊者繞過前端防禦,大規模利用核心業務邏輯,據報告所述。發現突顯三大結構性變化:AI 代理作為互聯網流量的新類別出現;自動化活動凌駕人類互動;針對 API 同身份系統的攻擊迅速擴張,這些系統為數碼業務的骨幹。更重要的是,AI 代理現正成為流量第三類別,與傳統「良性」同「惡性」機械人並列,直接與應用程式同 API 互動,擷取數據並執行任務。
此轉變模糊合法與惡意自動化的界線,令機構愈來愈難判斷意圖,報告如是指出。 「AI 正將自動化從機構試圖阻擋的東西,轉變為他們亦須管理的東西,」Thales 應用安全全球副總裁兼總經理 Tim Chang 表示。「挑戰已非辨識機械人,而是理解機械人、代理或自動化在做什麼,是否符合業務意圖,以及如何與關鍵系統互動。」報告顯示自動化對互聯網的掌控日益收緊,機械人持續超越人類活動。
2025 年,機械人佔所有網頁流量的逾 53%,較前一年的 51% 上升,而人類活動跌至 47%。這反映結構性轉變而非暫時趨勢,機械人不再限於特定事件如資料抓取或憑證填充活動,而是持續存在於各數碼環境中,Thales 如是指出。 Thales 報告亦強調,現時 27% 機械人攻擊針對 API,機械人可繞過用戶介面,以機器速度直接與後端系統互動。此類攻擊往往看似合法,使用有效認證同格式正確的請求,但大規模利用業務邏輯、擷取敏感數據或操控工作流程。
影響在高價值行業尤為顯著。金融服務佔所有機械人攻擊的 24%,以及 46% 帳戶接管事件,突顯自動化如何直接將網絡攻擊貨幣化,據發佈內容所述。
📬 免費訂閱 TechRitual 科技精選
每 3 日由 AI 精選 5 篇最重要香港科技新聞,直送你信箱
