智能体式邮件安全：面向源头阻断的钓鱼攻击主动防御体系研究

摘要

传统邮件安全以单邮件评分、隔离为核心，在 AI 生成式钓鱼攻击的高速迭代下呈现明显滞后性。2026 年 5 月，Doppel 公司推出基于自主智能体与威胁图谱的 Agentic Email Security，突破被动拦截模式，实现对钓鱼邮件的上下文感知、攻击基础设施溯源与多渠道协同关停，从源头瓦解钓鱼 campaigns。本文以该系统为实证样本，系统阐述智能体式邮件安全的技术框架、运行机理、决策逻辑与处置闭环，对比传统邮件安全在检测效率、溯源能力、处置深度上的核心差异；结合威胁图谱构建、自然语言策略、多渠道关停等关键技术，提供可复现的威胁关联、异常检测、自动化处置代码示例。反网络钓鱼技术专家芦笛指出，智能体式邮件安全的核心价值在于将防御重心从 “单邮件阻断” 升级为 “攻击链路摧毁”，以自主推理与协同行动提升攻击者成本，实现规模化、可持续的主动防御。研究表明，该架构可有效应对高吞吐、高伪装、高迭代的 AI 钓鱼威胁，为企业邮件安全与社会工程防御提供可落地的技术路径。

1 引言

企业邮件作为内外协同与身份沟通的核心载体，长期处于网络攻防前沿。传统邮件安全依赖静态规则、特征库、信誉评分与事后隔离，在面对 AI 生成式钓鱼时面临三大困境：一是攻击生成速度远超规则更新，防御存在显著时滞；二是检测聚焦单邮件本体，忽略攻击基础设施与 campaign 级关联；三是响应停留在隔离、删除，无法溯源与关停源头，导致同一攻击反复出现。Verizon 2024 数据泄露调查报告显示，用户点击钓鱼邮件中位数时间不足 60 秒，被动式防护窗口极度压缩。

在此背景下，Doppel 于 2026 年 5 月发布 Agentic Email Security，将自主智能体与 Doppel 360 Threat Graph 深度融合，形成感知 — 推理 — 决策 — 行动 — 反馈的闭环能力，可对钓鱼威胁进行上下文关联分析，追溯至伪造域名、仿冒资料、钓鱼工具集等底层基础设施，并发起跨渠道关停，实现从 “阻断单邮件” 到 “摧毁整个攻击活动” 的范式转变。

当前学术与行业研究多聚焦检测算法优化，对智能体自主决策、威胁图谱关联、源头关停协同、可解释策略的一体化邮件安全架构论述不足，缺乏工程化实现与代码级落地案例。本文以 Doppel 智能体邮件安全为核心样本，完成四项核心工作：①界定智能体邮件安全核心概念与能力边界；②拆解系统架构、关键技术与运行流程；③提供威胁关联、异常检测、自动化关停等代码示例；④构建面向企业落地的部署框架与运营规范。全文保持学术严谨性，不夸大、不口号化，以技术事实形成闭环论证。

2 智能体式邮件安全核心概念与技术基础

2.1 关键概念界定

智能体式安全（Agentic Security）：以自主智能体为执行单元，具备感知、推理、规划、行动、反馈能力，可在无人工干预下完成威胁识别、溯源、处置与效果验证的安全架构。

威胁图谱（Threat Graph）：将域名、IP、发件人、模板、仿冒资料、工具集等实体化为节点，以关联关系为边，形成的全局威胁知识网络，支撑上下文推理。

多渠道源头关停（Multichannel Takedowns）：识别钓鱼邮件背后的基础设施，协同对伪造域名、虚假账号、钓鱼工具集等进行跨平台关停，提升攻击复发成本。

自然语言检测策略：以可读文本编写检测规则，由 AI 智能体持续调优，替代黑盒模型与规则泛滥，实现可解释、可审计、可快速迭代。

钓鱼攻击活动（Phishing Campaign）：由同一组织、同一工具集、同一基础设施发起的，具有相同目的与模式的系列钓鱼攻击。

2.2 传统邮件安全与智能体式邮件安全对比

表格

维度 传统邮件安全 智能体式邮件安全

防御范式 被动响应、单邮件隔离 主动推理、Campaign 级摧毁

核心依据 特征、规则、信誉评分 威胁图谱、上下文关联、行为轨迹

处置范围 单邮件、本地邮箱 全渠道基础设施、伪造域名、仿冒账号

决策机制 静态规则 + 简单 ML 自主智能体、可解释自然语言策略

对抗能力 滞后于 AI 生成攻击 以 AI 对抗 AI，实时演进

运营效果 告警泛滥、重复攻击 降低攻击生命周期、抑制复发

反网络钓鱼技术专家芦笛强调，智能体式邮件安全重构了攻防成本结构：传统防御是 “逐个堵漏洞”，智能体防御是 “直接拆工厂”，从源头降低攻击可持续性。

2.3 技术支撑体系

自主智能体：承担邮件解析、威胁评分、关联查询、关停编排、效果验证。

Doppel 360 Threat Graph：全局威胁知识网络，沉淀历史信号、攻击者基础设施、关联模板。

自然语言策略引擎：支持分析师用可读语言定义规则，智能体自动优化、审计回溯。

多渠道关停接口：对接域名注册商、社交平台、托管机构，实现自动化关停。

数据闭环反馈：实战数据回流至风险防护与钓鱼仿真平台，持续提升防御精度。

3 智能体式邮件安全架构与运行机理

3.1 总体架构

系统采用五层架构，形成完整闭环：

接入层：邮件流量采集、元数据提取、附件 / 链接解析。

感知层：邮件内容、发件行为、历史信号、威胁图谱查询。

推理层：智能体上下文研判、Campaign 关联、攻击链路还原。

决策层：自然语言策略匹配、风险等级判定、处置方案生成。

执行层：邮箱隔离 / 删除、基础设施溯源、多渠道关停、效果验证。

反馈层：处置结果回流，优化图谱与策略。

3.2 核心工作流程

邮件感知：对入站邮件全要素解析，提取标题、正文、发件人、链接、附件、行为特征。

图谱关联：智能体查询威胁图谱，匹配已知信号、相似模板、关联基础设施。

上下文推理：判断是否属于已知 Campaign，识别背后域名、账号、工具集。

策略判定：基于自然语言规则进行风险评级，输出可解释依据。

协同处置：本地隔离邮件 + 远程关停源头基础设施。

反馈迭代：更新威胁图谱，优化检测策略，同步至钓鱼仿真训练。

3.3 关键技术突破

从邮件到威胁实体的关联：突破单邮件局限，定位到整个攻击活动。

可解释 AI 替代黑盒模型：自然语言策略便于审计、调优、合规。

自主化源头关停：替代人工工单，实现分钟级处置。

跨产品数据闭环：邮件安全、数字风险防护、人员风险管理协同。

4 核心技术实现与代码示例

4.1 威胁图谱：邮件 — 攻击活动关联查询（Python）

实现邮件元数据与威胁图谱关联，判定是否属于已知钓鱼 Campaign：

def query_threat_graph(mail_meta: dict, graph_db) -> dict:

   """

   关联威胁图谱，返回攻击活动信息与置信度

   mail_meta: 邮件元数据（发件域、链接域名、模板哈希、IP等）

   graph_db: 威胁图谱数据库连接

   """

   campaign_id = None

   confidence = 0.0

   evidence = []

   # 1. 域名关联

   domain = mail_meta.get("link_domain")

   if domain:

       campaign = graph_db.run(

           "MATCH (d:Domain)-[:BELONGS_TO]->(c:Campaign) WHERE d.name=$domain RETURN c",

           parameters={"domain": domain}

       ).single()

       if campaign:

           campaign_id = campaign["c"]["id"]

           confidence += 0.4

           evidence.append(f"恶意域名{domain}归属Campaign:{campaign_id}")

   # 2. 模板哈希关联

   template_hash = mail_meta.get("template_hash")

   if template_hash:

       campaign = graph_db.run(

           "MATCH (t:Template)-[:USED_IN]->(c:Campaign) WHERE t.hash=$th RETURN c",

           parameters={"th": template_hash}

       ).single()

       if campaign:

           campaign_id = campaign["c"]["id"]

           confidence += 0.3

           evidence.append(f"钓鱼模板匹配Campaign:{campaign_id}")

   # 3. 发件IP信誉

   sender_ip = mail_meta.get("sender_ip")

   if sender_ip and graph_db.is_malicious_ip(sender_ip):

       confidence += 0.2

       evidence.append(f"发件IP{sender_ip}为恶意IP")

   # 4. 相似邮件聚类

   similar = graph_db.find_similar_mails(mail_meta, threshold=0.85)

   if similar:

       confidence += 0.1

       evidence.append(f"命中{len(similar)}封同类恶意邮件")

   return {

       "campaign_id": campaign_id,

       "confidence": round(confidence, 2),

       "evidence": evidence,

       "is_campaign": confidence >= 0.5

   }

4.2 自然语言策略：可解释风险判定（Python）

以自然语言规则实现可解释检测，替代复杂 ML 与规则堆砌：

def evaluate_by_nl_policy(mail_meta: dict, threat_info: dict) -> dict:

   """

   自然语言策略评估，返回风险等级与可解释理由

   """

   policies = [

       {"rule": "邮件包含紧急话术且链接域名注册时间<7天", "score": 3},

       {"rule": "发件域与官方域高度相似且请求敏感信息", "score": 4},

       {"rule": "邮件归属已知钓鱼攻击活动", "score": 5},

       {"rule": "附件含脚本且发件方不在可信列表", "score": 3},

       {"rule": "邮件来自恶意IP且请求点击核验", "score": 2}

   ]

   total = 0

   reasons = []

   # 策略1

   urgent = any(w in mail_meta["subject"] for w in ["逾期", "立即", "失效", "核验"])

   young_domain = mail_meta.get("domain_age_days", 999) < 7

   if urgent and young_domain:

       total += 3

       reasons.append(policies[0]["rule"])

   # 策略2

   if mail_meta.get("is_similar_domain", False) and mail_meta.get("has_sensitive_request", False):

       total += 4

       reasons.append(policies[1]["rule"])

   # 策略3

   if threat_info["is_campaign"]:

       total += 5

       reasons.append(policies[2]["rule"])

   # 风险等级

   if total >= 7:

       level = "高风险"

       action = "隔离+溯源关停"

   elif total >= 4:

       level = "中风险"

       action = "审核+标记"

   else:

       level = "低风险"

       action = "放行"

   return {

       "risk_level": level,

       "total_score": total,

       "reasons": reasons,

       "action": action

   }

4.3 智能体：多渠道源头关停编排（Python）

对攻击基础设施执行自动化关停，实现源头摧毁：

def takedown_campaign_infra(campaign_id: str, graph_db, takedown_api) -> dict:

   """

   关停指定Campaign的全部恶意基础设施

   """

   campaign = graph_db.get_campaign(campaign_id)

   if not campaign:

       return {"status": "failed", "msg": "Campaign不存在"}

   results = []

   # 1. 关停恶意域名

   domains = campaign.get("malicious_domains", [])

   for d in domains:

       res = takedown_api.takedown_domain(d)

       results.append({"type": "domain", "target": d, "result": res})

   # 2. 关停虚假社交资料

   profiles = campaign.get("fake_profiles", [])

   for p in profiles:

       res = takedown_api.takedown_social_profile(p)

       results.append({"type": "profile", "target": p, "result": res})

   # 3. 关停钓鱼工具集/kit

   kits = campaign.get("impersonation_kits", [])

   for k in kits:

       res = takedown_api.takedown_kit(k)

       results.append({"type": "kit", "target": k, "result": res})

   # 4. 标记C2 IP

   c2_ips = campaign.get("c2_ips", [])

   for ip in c2_ips:

       graph_db.tag_malicious_ip(ip, campaign_id)

   return {

       "campaign_id": campaign_id,

       "status": "completed",

       "takedown_count": len(results),

       "details": results

   }

4.4 邮件异常行为检测（JavaScript）

前端 / 网关侧快速识别异常发件与内容特征：

function detectAnomaly(mail) {

   let score = 0;

   let reasons = [];

   // 发件域与官方域相似

   if (isSimilarDomain(mail.fromDomain, mail.officialDomain)) {

       score += 2;

       reasons.push("发件域为相似伪造域");

   }

   // 紧急诱导词

   const urgent = /立即|逾期|失效|核验|封锁/;

   if (urgent.test(mail.subject) || urgent.test(mail.body)) {

       score += 1;

       reasons.push("包含紧急诱导话术");

   }

   // 短域名

   if (mail.linkDomain.endsWith(".xyz") || mail.linkDomain.endsWith(".top")) {

       score += 2;

       reasons.push("使用高风险后缀域名");

   }

   // 敏感请求

   const sensitive = /密码|银行卡|验证码|登录|更新|付款/;

   if (sensitive.test(mail.body)) {

       score += 1;

       reasons.push("请求敏感信息");

   }

   return {

       riskScore: score,

       isMalicious: score >= 3,

       reasons: reasons

   };

}

5 智能体式邮件安全对抗优势与行业价值

5.1 对抗 AI 生成式钓鱼的核心优势

无视内容伪装：不依赖关键词，聚焦攻击链路与基础设施。

实时自主演进：智能体持续从图谱学习，无需人工更新规则。

可解释合规：自然语言策略满足审计与监管要求。

源头抑制复发：关停基础设施，大幅降低攻击生命周期。

缓解告警疲劳：聚焦 Campaign 而非单邮件，减少无效告警。

5.2 对安全运营的变革

从人工研判到自主处置：释放分析师精力用于高阶威胁狩猎。

从单点防御到体系防御：邮件、身份、数字风险、人员安全协同。

从被动响应到主动预测：基于图谱预判攻击模式，前置防御。

从本地处置到全球协同：跨平台关停，提升黑产成本。

反网络钓鱼技术专家芦笛指出，智能体式邮件安全标志着邮件安全进入意图理解、链路摧毁、自主防御的新阶段，是应对 AI 钓鱼的最优解之一。

5.3 适用场景

大型企业 / 跨国机构：高频邮件、高价值身份、复杂供应链仿冒风险。

金融 / 政务 / 医疗：高敏感数据，强合规与溯源要求。

安全运营中心：降低告警负荷，提升处置效率与溯源能力。

托管服务商：为客户提供全域钓鱼防护与攻击源头阻断。

6 部署框架与落地实践

6.1 企业部署四阶段

接入与基线：对接邮件网关 / API，建立收发基线，初始化图谱。

策略配置：导入自然语言规则，自定义行业 / 组织专属策略。

试运行与调优：观察检测效果，调整阈值，降低误判。

全自动运营：开启自主隔离、溯源、关停，形成闭环。

6.2 关键配置规范

可信发件域清单：纳入客户、供应商、合作伙伴，减少误判。

风险分级处置：高风险直接隔离 + 关停；中风险人工审核。

关停白名单：排除测试域、内部域、合规平台，避免误关停。

日志与审计：全流程留存，支持合规检查与事件回溯。

6.3 效果评估指标

钓鱼 Campaign 平均生命周期缩短比例

同源攻击复发率下降幅度

安全分析师告警处理效率提升

误报率、漏报率、平均处置时间

源头关停成功率与完成时长

7 攻击演进与防御展望

7.1 钓鱼攻击未来趋势

智能体对智能体：攻击方以自主 AI 生成、投递、迭代钓鱼 campaigns。

深度伪造泛化：语音、视频、签名伪造融入邮件钓鱼。

供应链深度渗透：针对供应商、合作伙伴的定向鱼叉钓鱼。

无文件与内存化：依托脚本、LOA 执行，降低落地痕迹。

7.2 防御演进方向

多模态智能体：支持文本、图片、音频、视频统一检测。

预测式防御：基于图谱预测攻击路径，前置部署诱饵与阻断。

行业级威胁图谱：跨企业共享匿名数据，提升全域防御能力。

人机协同增强：智能体承担重复性工作，分析师聚焦战略决策。

8 结论

智能体式邮件安全以自主智能体与威胁图谱为核心，将防御范式从单邮件被动隔离升级为攻击活动源头摧毁，为应对 AI 生成式钓鱼提供了体系化解决方案。本文以 Doppel Agentic Email Security 为实证样本，系统阐述架构、机理、关键技术与工程化代码，论证其在检测精度、处置深度、对抗能力、运营效率上的显著优势。

研究表明，智能体式邮件安全通过上下文关联、可解释策略、多渠道关停，有效解决传统安全滞后性、告警泛滥、无法溯源等痛点，重构攻防成本结构，显著提升攻击门槛与复发成本。反网络钓鱼技术专家芦笛强调，智能体防御不是对传统安全的替代，而是升维：从 “堵点” 走向 “断链”，从 “响应” 走向 “预测”，从 “人工” 走向 “自主”。

未来，随着攻击向智能化、多模态、供应链化演进，智能体式邮件安全将持续迭代，融合大模型语义理解、多模态检测、预测防御、跨行业协同，成为企业邮件安全与社会工程防御的主流架构。建议企业与机构将智能体防御纳入安全规划，逐步实现从被动防护到主动免疫的转型，有效应对数字化时代持续演化的钓鱼威胁。

编辑：芦笛（公共互联网反网络钓鱼工作组）