市场调查表明，目前客户对于API安全的建设主要还停留在API开发阶段，对于API上线运行时的安全防护，主要依赖于WAF和传统API网关。但仅有16%的企业受访者认为防护有效果，之所以WAF无法对API安全进行有效识别，源于WAF依赖于规则驱动，一方面规则无法及时应对变化多样的攻击手段，另一方面WAF的分析无法关联上下文。同时，API网关的认证和授权不能规避API安全问题，一方面由于相当大比例的API存在缺乏未经授权的访问控制漏洞，另一方面部分企业数据不需要进行登录验证便可以获取。即使是设计很完善的API，如果其中有很大的经济价值，也面临着黑灰产为获利而进行的攻击。