SAP近期更新API政策,其中一项与AI相关的条款引发了合作伙伴和顾问社区的担忧。根据新政策,除非通过SAP认可的架构、数据服务或明确指定的服务路径,SAP禁止使用其API与半自主或生成式AI系统进行交互或集成,尤其是那些能够规划、选择或执行一系列API调用的AI系统。同时,政策也限制通过API进行抓取、采集、系统性或大规模数据提取与复制。
这一表述之所以敏感,是因为当前企业AI应用越来越依赖对核心业务系统数据的访问。如果第三方AI工具、客户自建AI Agent或合作伙伴开发的应用无法自由调用SAP API,就可能影响客户在SAP体系之外部署AI能力的空间。德国独立SAP顾问Marian Zeis认为,新政策比社区预期更严格,影响范围可能不仅限于第三方合作伙伴,也会波及SAP客户自身。
争议的核心在于:SAP是否会借API政策限制客户使用非SAP AI方案。Zeis指出,SAP官方文档化API的更新速度较慢,很多实际应用场景不得不依赖未文档化接口。如果开发者只能使用官方文档中明确允许的API,SAP就可能对客户系统未来的开发进行治理、监控、限流甚至控制。这种担忧在SAP顾问社区中得到了一些回应,也有媒体认为该政策文件可能是"误发布",但截至文章发布时,关键措辞仍保留在SAP帮助文档中。
SAP方面则强调,此次更新是为了支持共享企业平台在自动化和AI访问增加背景下的安全、可靠和公平使用。SAP声明称,新政策旨在明确接口的设计用途,符合云服务行业标准,保护系统稳定性和客户数据,并指导受支持的集成模式,同时不会改变客户对自身数据的所有权。
SAP CEO Christian Klein也在投资者电话会上回应称,客户不会因为访问自己的数据而付费,SAP仍希望保持开放架构,包括支持第三方AI Agent。但他也强调,当API面临大量数据请求或数百万次调用时,SAP必须进行限流,否则客户应用可能出现性能问题。他同时表示,SAP的知识产权和行业领域知识是重要资产,需要在开放与保护之间取得平衡。
文章也呈现了另一种观点。Dragon ERP的SAP业务负责人Alisdair Bach认为,从安全角度看,加强API访问控制有合理性。随着企业系统持续面临自动化攻击和AI驱动的数据探测,过去较松散的集成方式不仅效率低,也可能带来安全风险。AI Agent能够比人类更快地测试弱访问点,因此企业级系统确实需要更严格的接口治理。
总体来看,这场争议反映出SAP在AI时代面临的典型矛盾:一方面,客户希望充分掌控自己的业务数据,并能自由选择第三方AI工具;另一方面,SAP希望维护平台稳定、安全边界和自身知识产权。问题不在于SAP是否应该治理API,而在于治理边界是否清晰、开放架构是否真正可操作,以及官方API能力是否能及时满足现实业务创新需求。如果SAP不能快速补足文档化API和开放集成路径,客户和伙伴反而可能被迫继续依赖未文档化接口,这将与SAP声称的安全治理目标形成反差。
https://www.theregister.com/2026/04/29/new_sap_api_policy_provokes/