Evolución WAAP: De la protección de aplicaciones web y API a la protección de web, API e IA.

A medida que profundizo en nuestra investigación anual , llego a varias conclusiones inevitables, impulsadas en gran medida por el impacto de la IA en, bueno, todo.

Una de esas conclusiones inevitables es que es hora de que WAAP pase de “Protección de API y aplicaciones web” a “Protección de web, API e IA”.

Dije lo que dije.

Hay muchas razones para hacer esta afirmación, la primera y más importante de las cuales es que “web” y “aplicación” son redundantes. Si bien las estimaciones pueden variar según la metodología y el período de tiempo, varias fuentes de la industria sugieren que aproximadamente el 80% del tráfico de Internet se entrega a través de protocolos HTTP (incluidos HTTP y HTTPS). Por ejemplo, los informes del Índice de redes visuales de Cisco (VNI) y análisis similares de redes de distribución de contenido como Akamai han indicado sistemáticamente que el tráfico web, transmitido predominantemente a través de HTTP/HTTPS, comprende la gran mayoría del tráfico global de Internet.

Cualquier tráfico entregado a través de “HTTP/S” generalmente se considera una “aplicación” desde la perspectiva de los servicios de entrega y seguridad. El hecho de que el contenido generado provenga de una aplicação moderna o tradicional, estática o dinámica, es en gran medida irrelevante para la gran cantidad de servicios que se utilizan para distribuirlo y protegerlo. Incluso el porcentaje de servicios de infraestructura, como DNS, entregados a través de HTTP/S está creciendo. Las estimaciones de la industria de Cloudflare generalmente sugieren que aproximadamente entre el 10 y el 20 % del tráfico de DNS se entrega a través de HTTPS (DoH) en la actualidad.

Entonces, dejemos de lado la “aplicación web” y digamos simplemente “web”.

La API en WAAP sigue siendo importante. El tráfico de API ha ido creciendo, no es necesario citar todas las fuentes que dicen que las API son dominantes hoy en día. Pero, en caso de que me necesites, fue allá por 2021 cuando el Informe sobre el estado de las API de RapidAPI indicó que se realizaban miles de millones de llamadas a API cada mes en una amplia gama de servicios. Cuando se promedian durante un mes (que tiene aproximadamente 2,6 millones de segundos), esos números implican un promedio del orden de 400.000 llamadas API por segundo a nivel mundial.

Y eso fue hace cuatro años, antes de que la IA generativa irrumpiera en escena. 

Lo que nos lleva al verdadero objetivo de este post, que es incorporar IA en WAAP.

Ahora, sé que acabo de decir que no seamos redundantes, por lo que la realidad de que el consumo de IA se logra casi universalmente a través de API hace que parezca innecesario, pero la variación en cómo los servicios de entrega y seguridad deben lidiar con contenido no determinista, en gran medida basado en texto, es lo suficientemente importante como para justificar que se lo señale. Al menos por ahora.

Porque, como veréis, los principales servicios de seguridad y entrega planificados para usar en la protección de la inferencia de IA son, espera, en gran medida los mismos que los incluidos en WAAP.

Ahora bien, no ignoremos que durante el último año ha aparecido en escena un nuevo servicio de seguridad: AI Gateway. Las puertas de enlace de IA agregan protecciones específicas de IA en torno a las indicaciones y respuestas necesarias para abordar algunas de las vulnerabilidades específicas de IA que existen, como la inyección de indicaciones, el jailbreak e incluso las alucinaciones.