Специалисты компании Servicepipe, российского поставщика решений для анализа и фильтрации вредоносного трафика, выяснили, что к 2025 году около 25% опасного API-трафика генерировалось через теневые и забытые интерфейсы — устаревшие, тестовые или оставленные без внимания точки доступа, которые продолжают функционировать вне зоны контроля кибербезопасности. Анализ проводился на основе данных с 500 приложений.
«Широкое внедрение ИИ в процесс создания API усугубляет эту проблему, — отметил Михаил Хлебунов, директор по продуктам Servicepipe. — Разработчики с его помощью производят всё больше кода, включая API, которые впоследствии оказываются забытыми. Дополнительную угрозу для долго развивающихся API-приложений представляет legacy-код — унаследованные от прежних команд фрагменты, сложные для понимания и поддержки. Наибольшую опасность это представляет для организаций со слабой системой информационной защиты».
Положение дел ухудшается из-за сокращения сроков обновления приложений: если ранее релизы выходили не чаще раза в месяц, то сейчас обновления могут появляться каждые несколько дней.
«Бизнес получает необходимый функционал в срок, но иногда это происходит в ущерб безопасности, поскольку непроверенные API попадают в эксплуатацию, — пояснил Михаил Хлебунов. — К тому же, забытый интерфейс обычно означает отсутствие актуальной документации или её полное устаревание».
Заброшенные API способны открывать несанкционированный доступ к данным или функциям систем, создавая скрытые лазейки. Именно через них злоумышленники обходят основные защитные механизмы, используя легитимные учётные данные и оставаясь невидимыми для традиционных средств защиты, таких как WAF и SIEM. Особенно критичны уязвимости типа BOLA и IDOR, позволяющие злоумышленнику получать доступ к чужим данным путём подмены номера счёта или идентификатора пользователя в запросе.
«В 2026 году важнейшей задачей для компаний станет не только защита рабочих API, но и полное картирование всей API-поверхности, включая забытые, теневые и автоматически создаваемые интерфейсы, особенно в средах с AI-агентами и сложной интеграцией, — подчеркнул Михаил Хлебунов. — Бизнесу уже сейчас стоит внедрять процессы мониторинга и учёта API, применять инструменты для обнаружения неиспользуемых точек доступа, а также обучать команды разработки и DevOps выявлять устаревшие интерфейсы и оперативно реагировать на их уязвимости».
