ZONER Cookies

Vážený návštěvníku, potvrzením pomocí tlačítka OK udělujete souhlas nám a našim partnerům s použitím cookies pro nezbytné, analytické a marketingové účely na tomto zařízení. Volbou Nastavení můžete sami určit, jaké skupiny cookies je možné zpracovávat, popřípadě jejich zpracování úplně zakázat. Ukládání nezbytných cookies probíhá vždy, a to v zájmu zachování funkčnosti webové prezentace.

V tomto okně můžete zvolit kategorie cookies v souladu s vlastními preferencemi.

Nezbytné

Tyto cookies zajišťují bezchybný provoz našich webových stránek. Umožňují například vložení služby do objednávky, ukládání dat s ohledem na bezpečnost webu, přihlašování k webu a podobně. Nezbytné cookies nelze deaktivovat, jelikož by došlo k narušení správného fungování webu.

Preferenční

Preferenční cookies umožňují, aby si webová stránka zapamatovala informace, které mění, jak se webová stránka chová nebo jak vypadá. Je to například preferovaný jazyk nebo region, kde se nacházíte.

Analytické

Díky nástrojům jakými jsou například Google analytics můžeme sledovat, jak stránky používáte, z jakých zdrojů a technologií. Na základě těchto dat můžeme web neustále vylepšovat, aby byl pro vás co nejpřívětivější. Veškerá data jsou anonymizována, konkrétní uživatele tedy identifikovat nemůžeme.

Marketingové

Společně s nástroji třetích stran můžeme zobrazovat vámi preferované reklamy v partnerských sítích přesně dle vašich zájmů. V případě nesouhlasu je vysoce pravděpodobné, že vaše zájmy a preference nebudou zohledněny a bude se vám reklama zobrazovat plošně. Veškeré profily vašich zájmů jsou pseudonymizované, díky tomu není možná bezprostřední identifikace vaší osoby.

AI

Zabezpečení API v éře AI: Nové výzvy a strategie

11. března 2026
Vojtěch Tomášek

Obsah

  1. API: Digitální páteř od prostého requestu k autonomním agentům AI
  2. AI a nové hrozby: Když se útočník učí
    1. Jak AI proměňuje útočné techniky:

Související

V roce 2025 projde internetem denně přes 20 miliard API volání. Tyto neviditelné spoje tvoří páteř moderní digitální ekonomiky. S nástupem generativní umělé inteligence a autonomních AI agentů, kteří se na tato API ve stále větší míře spoléhají, se však objevují zcela nové výzvy pro zabezpečení API rozhraní. Již nejde jen o ochranu dat, ale i o integritu celých systémů, které AI pohání.

API: Digitální páteř od prostého requestu k autonomním agentům AI

Application Programming Interfaces (API) jsou dnes neviditelným, ale zásadním prvkem téměř každé digitální interakce. Od mobilních aplikací komunikujících s cloudovými službami až po složité mikroslužby v datových centrech – API zajišťují plynulou výměnu dat a funkcionalit. V podstatě fungují jako digitální číšníci, kteří přijímají objednávky (requesty) a doručují výsledky (response) mezi různými softwarovými komponentami.

Tradičně byla API navržena pro komunikaci mezi aplikacemi, které spravují lidé, nebo mezi backendovými systémy. S příchodem generativní umělé inteligence a zejména autonomních AI agentů se však role API dramaticky proměňuje. Tito agenti, ať už jde o pokročilé chatboty, analytické nástroje nebo automatizované systémy řízení, se stávají aktivními uživateli API. Namísto lidského operátora, který zadá požadavek do webového formuláře, dnes API často interaguje přímo s AI, která má schopnost učit se, adaptovat se a samostatně rozhodovat. Tato změna sice přináší velký potenciál pro automatizaci a efektivitu, zároveň ale otevírá Pandořinu skříňku nových bezpečnostních rizik.

Podle zprávy společnosti Salt Security z roku 2023 se 94 % organizací setkalo s bezpečnostními incidenty souvisejícími s API za posledních 12 měsíců. Až 17 % společností přiznalo pět nebo více takových incidentů. To ukazuje, že API se stala hlavním vektorem útoku, a s rostoucí integrací AI se tento trend bude jen prohlubovat. AI agenti totiž API nejen využívají, ale mohou je i generovat, testovat a zneužívat mnohem sofistikovanějšími způsoby než lidský útočník.

AI a nové hrozby: Když se útočník učí

Historicky se bezpečnost API soustředila na ochranu před běžnými zranitelnostmi, jako jsou ty popsané v OWASP API Security Top 10. Mezi ně patří například Broken Object Level Authorization (BOLA), Broken User Authentication, Mass Assignment nebo Incorrect Inventory Management. Tyto zranitelnosti jsou stále relevantní, ale s nástupem AI se objevují nové, sofistikovanější hrozby, které posouvají hranice kybernetických útoků.

Představte si AI agenta, který je schopen analyzovat chování legitimních uživatelů a následně napodobit jejich vzorce přístupu k API s cílem obejít detekční systémy. To je realita. Útoky se stávají adaptivnějšími a personalizovanějšími. Tradiční zabezpečení, spoléhající na statická pravidla a signatury, může být proti inteligentním útokům bezmocné. O nových hrozbách pravidelně informujeme v sekci IT Security na Interval.cz, avšak AI přináší zcela novou úroveň rizika.

Jak AI proměňuje útočné techniky:

  • Sofistikovaný phishing a social engineering: AI dokáže generovat vysoce přesvědčivé phishingové e-maily, zprávy nebo dokonce hlasové nahrávky, které jsou téměř k nerozeznání od legitimní komunikace. Tyto útoky mohou směřovat k získání přihlašovacích údajů k API nebo k manipulaci s AI agenty, aby provedli nechtěné akce.
  • Automatizované útoky a zneužití logiky: AI může efektivně prohledávat API dokumentaci, identifikovat slabá místa v obchodní logice a automaticky konstruovat exploitovací požadavky. Namísto ručního testování tisíců endpointů dokáže AI provést tuto práci v řádu minut či sekund.
  • Data Poisoning (otrava dat): Pokud AI agenti trénují na datech získaných přes API, existuje riziko, že útočník může do těchto dat vnést záměrně zkreslené nebo škodlivé informace. To může vést k tomu, že AI začne generovat chybné výsledky, dělat špatná rozhodnutí nebo dokonce vytvářet bezpečnostní díry.
  • Prompt Injection a manipulace s AI modely: Útoky typu prompt injection, které jsou známé z velkých jazykových modelů (LLM), se mohou přenést i do API, pokud API vystavuje rozhraní pro interakci s AI modely. Útočník může manipulovat s instrukcemi pro AI, aby provedla neoprávněné akce, například získala citlivá data nebo obešla bezpečnostní kontroly.
  • DDoS útoky s adaptivním chováním: Klasické DDoS útoky zahltí server velkým množstvím požadavků. AI-řízené DDoS útoky mohou být mnohem záludnější, protože napodobují legitimní provoz a adaptují se na obranné mechanismy, což ztěžuje jejich detekci a blokování.

Podle odhadů společnosti Gartner se očekává, že do roku 2026 budou API zneužívána k útokům na webové aplikace a webové služby více než 50 % organizací. To je dramatický nárůst oproti roku 2022, kdy to bylo 30 %. Tento posun jasně ukazuje, že API se stávají hlavním cílem a tradiční přístupy již nestačí.

Rostoucí role API v moderní digitální infrastruktuře, ve spojení s nástupem adaptivní umělé inteligence, vyžaduje kompletní přehodnocení tradičních bezpečnostních strategií. Organizace musí investovat do pokročilých nástrojů a metodik, které dokážou rozpoznávat a reagovat na neustále se vyvíjející hrozby. V opačném případě riskují, že jejich digitální páteř se stane největší Achillovou patou.

 

Zdroje:

Salt Security: The State of API Security Report 2023

Gartner Predicts 50% of Organizations Will Experience API Attacks by 2026

OWASP API Security Top 10

Předchozí článek Jak vyhodnotit návratnost nasazení AI v reálných procesech
Další článek Homomorfní šifrování: Intel a čip pro výpočty nad zašifrovanými daty
Vojtěch Tomášek

Jsem redaktor se zájmem o technologie, grafický design a IT. Je pro mě klíčová zpětná vazba a podněty od čtenářů. Chci tak tvořit obsah, který nejen informuje, ale také inspiruje a obohacuje. Od dokončení vysoké školy se věnuji převážně grafice a IT. Když zrovna nejsem v redakci Intervalu, jsem v přírodě nebo se právě snažím dokončit quest v nejnovějším Zaklínači.

Mohlo by vás také zajímat

Nejnovější

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *