隨著生成式AI與大語言模型（LLM）的快速進展，惡意機械人（Bot）攻擊正以前所未見的速度升溫。根據全球技術與安全解決方案供應商Thales近日發表的《2025年Imperva惡意機械人報告》，AI工具的普及顯著降低了網絡攻擊的技術門檻，使駭客即使不具備高階技術背景，也能輕易大規模部署機械人，對金融、醫療與電商等高度依賴API的產業構成巨大威脅。

根據《2025年Imperva惡意機械人報告》，AI工具的普及顯著降低網絡攻擊的技術門檻，使駭客即使不具備高階技術背景，也能輕易大規模部署機械人，對金融、醫療等高度依賴API的產業構成巨大威脅。

本次報告分析涵蓋來自全球超過13兆次惡意機械人請求攔的截紀錄，範圍橫跨數千個網域與多個產業，此為該年度研究的第12版，由Imperva威脅研究團隊與安全分析服務（SAS）團隊共同編製。

該報告指出，2024年自動化機械人流量首次超越人類所產生的網路流量，占比達51%。其中惡意機械人流量占整體網路流量的37%，較去年的32%顯著上升，並連續第六年呈現增長趨勢，顯示出AI推升攻擊趨向規模化。Thales應用程式安全總經理Tim Chang強調：「AI驅動的機械人數量正以前所未見的速度成長，為全球企業帶來前所未有的安全挑戰。」

「機械人即服務（Bot-as-a-Service, BaaS）」等商業化生態系迅速成熟，使駭客能不斷優化其攻擊策略，甚至利用AI分析先前失敗攻擊的原因並進行改進，進一步提高滲透效率與規模。

報告指出，旅遊與零售業成重災區，在所有產業中面臨最嚴峻的機械人威脅，惡意機械人流量占比分別高達41%與59%。其中，旅遊業更成為2024年受攻擊最嚴重的產業，占所有機械人攻擊的27%。儘管進階型機械人攻擊比例下降（由61%降至41%），但簡單型攻擊卻大幅上升（從34%躍升至52%），顯示AI降低了攻擊門檻，使得大量低技術駭客也能密集發動攻擊。

生成式AI工具的普及正為網路威脅注入新動能，成為新型網路武器。根據報告，現今駭客廣泛使用如ChatGPT、ClaudeBot、Google Gemini、Perplexity AI等AI平台進行攻擊。其中，來自ByteSpider Bot的攻擊占所有AI驅動攻擊的54%，其他常見來源還包括AppleBot（26%）與ClaudeBot（13%）。Chang表示：「許多曾被視為高端的規避技術，現在已成為標準攻擊手法。企業若未能迅速因應，將難以抵擋日益進化的威脅。」

Imperva報告特別指出，應用程式介面（API）正成為機械人攻擊的主要目標。高達44%的進階機械人流量專門針對API進行攻擊，不僅企圖癱瘓端點，更深入業務邏輯，利用自動化流程發動支付詐騙、帳戶劫持與資料竊取。

在許多產業當中，金融服務、醫療保健和電子商貿產業將面臨的攻擊風險加劇。而金融服務業首當其衝，是帳戶接管（Account Takeover）攻擊的首要目標，占整體事件的22%。其次為電信與網路供應商（18%）以及IT產業（17%）。由於金融業掌握大量個人身分資訊（PII）及高價值資產，其API使用頻率高、功能複雜，成為駭客覬覦的重點。可見得API雖然是現代應用程式的基礎，能夠實現跨平台連結與個人化體驗，但同時也因其複雜性與資料敏感性，成為資安防線的潛在破口。

《2025年Imperva惡意機械人報告》再次凸顯在AI新時代的企業資安策略需大幅升級。未來的攻防戰不再僅靠技術實力，而是對風險趨勢的即時掌握與快速因應能力。面對持續升溫的機械人威脅，唯有建構具前瞻性的防禦架構，才能在這場高速演進的數位安全戰中穩住陣腳。