Com a pressão crescente para a adoção do Agentes de IA, muitas organizações estão abrindo sem querer uma nova superfície de ataque: esses agentes dependem fortemente de APIs para se conectar a sistemas corporativos, fontes externas de dados e diversas ferramentas — o que significa que, sem modelos de segurança de API bem definidos, esses agentes podem acessar dados sensíveis, executar ações não autorizadas ou servir como vetores para comprometer sistemas inteiros.
A autoridade delegada da IA cria um desafio único, levando a OWASP a publicar recentemente o Top 10 para aplicações agentes, abordando especificamente essas ameaças. Mas mesmo sem IA, APIs desconhecidas ou invisíveis continuam sendo o principal vetor de ataque.
Abaixo, veja os 10 principais riscos de segurança em APIs segundo a OWASP, com sugestões de como mitigá-los usando a plataforma Amplify da Axway.
API 10 – Consumo inseguro de APIs
Desenvolvedores tendem a confiar demais em dados de APIs de terceiros. Invasores exploram serviços integrados com segurança frágil para injetar códigos maliciosos.
Mitigação:
- Validar cabeçalhos e parâmetros de entrada
- Limitar redirecionamentos e recursos
- Monitorar padrões incomuns de uso
API 9 – Gerenciamento impróprio de inventário
Versões antigas ou APIs esquecidas representam alvos fáceis. Falta de documentação e estratégia de desativação agrava o problema.
Mitigação:
- Inventariar e classificar APIs
- Automatizar o ciclo de vida via DevOps
- Usar o catálogo unificado da Amplify para rastrear APIs
API 8 – Configuração de segurança incorreta
Falhas como verbos HTTP desnecessários ou canais inseguros (ex: TLS desatualizado) abrem brechas de ataque.
Mitigação:
- Definir padrões corporativos de formatos de dados
- Implementar políticas globais de entrada/saída
- Configurar CORS, headers e mascaramento de erros
API 7 – Server-side request forgery (SSRF)
A API busca um recurso remoto sem validar a URL fornecida. Isso permite que atacantes forcem o sistema a acessar destinos não esperados.
Mitigação:
- Validar e limpar todas as URLs
- Bloquear redirecionamentos e acessos a redes internas
API 6 – Acesso irrestrito a fluxos de negócio
Falha não técnica, mas com impacto real. Ex: automatização maliciosa de compras ou cancelamentos de passagens.
Mitigação:
- Detecção de padrões não-humanos
- Aplicar mecanismos como reCAPTCHA
- Validar comportamentos automatizados
API 5 – Quebra de autorização em nível funcional
Usuários com acesso a funções que não deveriam ter. Ex: criar ou deletar objetos sem permissão.
Mitigação:
- Política default “negar tudo”
- Bloquear APIs administrativas fora da rede interna
- Controlar acesso com base em grupos e roles
API 4 – Consumo irrestrito de recursos
Falta de limites para uso de CPU, memória, armazenamento e chamadas externas.
Mitigação:
- Configurar limites (timeout, payload size, número de chamadas)
- Testar APIs com simulações de uso extremo
- Aplicar rate limiting e antívirus/ICAP via Amplify
API 3 – Quebra de autorização em nível de propriedade de objeto
A API retorna ou aceita atributos que deveriam ser internos, permitindo modificações não autorizadas (mass assignment).
Mitigação:
- Validar parâmetros e schemas
- Evitar uso de * na seleção de dados
- Adotar atribuição explícita no backend
API 2 – Quebra de autenticação
Endpoints de autenticação vulneráveis a brute force, MFA bypass, ou reset de senha sem confirmação.
Mitigação:
- Nunca desenvolva autenticação do zero
- Aplicar limites e lockouts em tentativas
- Integrar com LDAP, SSO, WAF e outros sistemas seguros
API 1 – Quebra de autorização em nível de objeto (BOLA)
Usuários acessando dados de outros via IDs previsíveis. Ex: listar dados de usuários com /user/001, /user/002, etc.
Mitigação:
- Verificações server-side com base em identidade
- Uso de tokens JWT com atributos
- Implementar filtros PEP (ex: XACML)
Conclusão
Essa lista da OWASP mostra que a segurança em APIs exige uma abordagem distinta dos apps tradicionais.
Plataformas como o Amplify da Axway ajudam a mitigar cada risco com ferramentas de governança, segurança, automação e visibilidade.
Autores:
Aleksandr Nartovich
Arquiteto Principal de Pré-Vendas na Axway
Lydia Defranchi
Editora-chefe de Blog e Jornalismo de Marca
