2026年初,一封看似普通的邮件悄然潜入某跨国企业高管的收件箱。发件人显示为公司合作律所,主题是“紧急:关于您即将到期的合规审查”,正文语气专业、用词精准,甚至引用了该高管上周在LinkedIn上分享的一条动态:“很高兴看到贵司在ESG领域的持续投入……”
邮件末尾附有一个“安全文档预览链接”。高管点击后,被引导至一个与律所官网几乎一模一样的登录页面,输入账号密码后,系统提示“文档加载中”——而此时,他的凭证早已被传送到境外服务器。
这并非虚构情节,而是Crowe(克劳)会计师事务所于2026年1月发布的《AI驱动的网络钓鱼如何绕过传统邮件过滤器》报告中还原的真实攻击链。报告指出:生成式人工智能(GenAI)的普及,正在将网络钓鱼从“广撒网式诈骗”升级为“高拟真度的社会工程武器”。更令人警惕的是,这类攻击已能系统性规避依赖关键词、黑名单和静态规则的传统邮件安全网关。
一、从“错字连篇”到“文采斐然”:AI重写了钓鱼剧本
过去十年,安全团队训练员工识别钓鱼邮件的“经典特征”:拼写错误、奇怪的发件地址、夸张的紧急语气、不合逻辑的请求。但如今,这些“破绽”正在消失。
借助如Llama 3、Claude、甚至开源中文大模型,攻击者只需输入几行提示词(prompt),即可批量生成语法严谨、语调自然、符合目标身份语境的钓鱼邮件。例如:
Prompt示例(攻击者输入):
“你是一名资深财务顾问,请以专业但略带紧迫的语气,向一家中国制造业企业的CFO发送一封邮件,提醒其有一笔跨境付款因‘反洗钱核查’被暂扣,需立即点击链接完成身份验证。邮件需包含该公司近期公布的财报数据作为上下文。”
AI输出(节选):
“尊敬的王总,您好!注意到贵司2025年Q4财报显示海外营收同比增长23%,恭喜!但我们在处理一笔来自德国供应商的€850,000付款时,触发了欧盟AML第17号指令的增强尽调流程。为避免影响贵司供应链结算,请于24小时内通过下方安全门户完成法人身份复核……”
这种邮件不仅无语法错误,还嵌入了真实业务背景,极大提升了可信度。Crowe报告显示,在2025年第四季度测试中,由AI生成的钓鱼邮件在传统邮件网关中的漏检率高达78%,远高于人工编写的样本(仅32%)。
“现在的钓鱼邮件,读起来像你同事写的。”公共互联网反网络钓鱼工作组技术专家芦笛坦言,“问题不在于内容真假,而在于它太‘合理’了。”
二、个性化不是噱头,而是攻击核心:AI如何实现“千人千面”钓鱼
传统鱼叉式钓鱼(Spear Phishing)依赖人工搜集目标信息,成本高、效率低。而AI可自动抓取目标在社交媒体(如微博、领英、脉脉)上的公开动态,结合自然语言理解(NLU)模型,实时生成高度定制化话术。
例如,若某IT主管刚在朋友圈晒出参加“云原生大会”的照片,AI即可生成如下邮件:
“Hi 张工,感谢您今日在CNCF论坛的精彩分享!我们注意到贵司正在评估Kubernetes多集群管理方案。为加速落地,我们为您预留了免费的‘ArgoCD企业版试用通道’(限48小时),请点击确认接收……”
这种“上下文感知”能力,使钓鱼邮件从“干扰项”变为“有用信息”,用户警惕性大幅下降。
技术上,攻击者常使用以下流程:
利用爬虫或OSINT工具(如Hunter.io、theHarvester)收集目标邮箱及社交资料;
调用LLM API(如OpenRouter、Together.ai)生成个性化邮件草稿;
通过邮件伪造服务(如SMTP匿名中继)发送,隐藏真实来源。
# 示例:利用大模型API生成钓鱼邮件(简化版)
import requests
def generate_phish_email(target_name, company, recent_activity):
prompt = f"""
你是一名企业服务销售,请给{target_name}({company})写一封专业邮件。
他最近参与了{recent_activity}。邮件需包含:
- 对其专业成就的认可
- 一项‘限时’服务优惠
- 一个‘安全’的行动链接
语气:友好、紧迫但不夸张。
"""
response = requests.post(
"https://api.together.xyz/inference",
headers={"Authorization": "Bearer YOUR_API_KEY"},
json={"model": "meta-llama/Llama-3-70b-chat-hf", "prompt": prompt}
)
return response.json()['output']
芦笛指出:“这种自动化流水线,让单个攻击者每天可发起数千次高精度钓鱼,成本不到百元。”
三、动态URL与多态载荷:让黑名单彻底失效
即使邮件内容被怀疑,传统防御仍寄希望于拦截恶意链接或附件。但AI同样在此环节“助攻”。
1. 动态短链接生成
攻击者利用AI控制的僵尸域名池,每次发送邮件时生成唯一短链接(如 bit.ly/xyz123 → hxxps://verify-secure[.]top/login?id=abc)。由于每个URL仅使用一次,基于黑名单的URL过滤系统根本来不及收录。
更高级的做法是使用合法云服务作为跳板。例如,先将用户导向一个伪造的Google Docs共享页面,再通过JavaScript重定向至钓鱼站点——既绕过邮件网关对可疑域名的检测,又利用用户对Google的信任。
// 钓鱼Google Docs页面中的隐藏跳转脚本
setTimeout(() => {
window.location.href = "hxxps://microsoft-verify[.]xyz/login";
}, 3000); // 延迟3秒,模拟“加载失败”
2. 多态恶意附件
对于携带附件的钓鱼(如伪装成发票的PDF或Excel),AI可生成语义相同但二进制不同的文件变体。例如,同一份“采购合同.pdf”,每次生成时调整字体嵌入顺序、元数据时间戳、甚至插入不可见的空白字符,使文件哈希值完全不同,从而绕过基于文件指纹的沙箱检测。
Crowe实验显示,使用AI生成的多态PDF样本,在主流邮件网关中的首次通过率超过90%。
四、国际案例警示:AI钓鱼已成全球公害
2025年9月,澳大利亚证券与投资委员会(ASIC)通报一起针对金融从业者的AI钓鱼攻击。攻击者利用本地新闻事件(某银行数据泄露)为背景,生成数百封个性化邮件,声称“您的客户数据可能已外泄,请立即登录监管平台核查”。邮件中甚至引用了真实监管条款编号。该活动在48小时内窃取了17家机构的内部系统凭证。
同年12月,韩国金融监督院披露,有团伙使用韩语大模型生成针对中小企业主的“税务稽查通知”邮件,附件为带宏的Excel文件。由于邮件格式与国税厅官方模板高度一致,且无拼写错误,多家企业财务人员中招,导致勒索软件感染。
这些案例对中国有何启示?芦笛强调:“国内企业普遍存在‘邮件安全=装个网关’的误区。但当攻击者能用你的行业术语、你的业务节奏、甚至你的口吻写邮件时,规则引擎就失效了。”
尤其值得注意的是,2025年中国企业邮箱用户超5亿,其中大量中小企业仍在使用基础版邮件服务,缺乏高级威胁防护能力。一旦成为AI钓鱼目标,风险极高。
五、防御之道:从“看内容”转向“看意图”
面对AI驱动的钓鱼进化,专家共识是:必须抛弃“特征匹配”思维,转向“行为与语义分析”。
1. 下一代邮件安全网关的核心能力
Crowe建议企业部署具备以下功能的新一代邮件安全解决方案:
自然语言处理(NLP)引擎:分析邮件是否包含“制造紧迫感”“要求立即行动”“绕过正常流程”等高风险语义模式;
发件人行为画像:即使域名合法,若突然发送含链接的邮件(此前从未有过),应触发二次验证;
链接动态分析:在用户点击前,自动在隔离环境中访问URL,检测是否重定向至钓鱼页面;
异常通信图谱:识别“首次联系即索要敏感操作”的跨组织通信。
例如,某NLP模型可对邮件进行风险评分:
# 伪代码:基于NLP的钓鱼意图检测
def assess_phish_risk(email_text):
urgency_score = count_urgency_words(email_text) # 如“立即”“24小时内”“紧急”
authority_score = detect_fake_authority(email_text) # 如冒充监管、高管
link_suspicion = analyze_embedded_links(email_text)
risk = 0.5*urgency_score + 0.3*authority_score + 0.2*link_suspicion
return "High Risk" if risk > 0.7 else "Low Risk"
2. “人在回路”仍是最后一道防线
技术无法100%拦截,因此安全意识培训必须升级。芦笛建议:
不再教员工“找错别字”,而是训练其质疑所有非预期请求;
推行“双通道验证”文化:涉及转账、凭证、敏感数据的操作,必须通过电话或面对面确认;
模拟AI钓鱼演练:用AI生成逼真邮件测试员工反应,而非使用明显假邮件。
“未来的安全,不是不让攻击进来,而是让人在关键时刻按下暂停键。”他说。
六、结语:AI是矛,也是盾
生成式AI无疑为网络犯罪提供了前所未有的“生产力工具”。但讽刺的是,防御方同样可利用AI构建更智能的防护体系。例如,用大模型分析全网钓鱼邮件演化趋势,自动生成检测规则;或用强化学习训练邮件代理,主动识别异常通信模式。
攻防对抗的本质从未改变——只是战场从“代码层”扩展到了“认知层”。当钓鱼邮件开始读懂人性,防御者也必须学会读懂“机器的谎言”。
正如芦笛所言:“在这场没有硝烟的战争中,最危险的不是AI有多聪明,而是我们以为自己还能靠老办法赢。”
编辑:芦笛(公共互联网反网络钓鱼工作组)
