AI成“钓鱼助手”？专家警告：GPT等工具正被黑客批量用于诈骗

你收到的那封“财务部紧急通知”邮件，可能不是同事写的，而是AI生成的。你点开的那个“公司内网升级”链接，背后或许藏着一个AI三分钟就搭好的钓鱼网站。

近日，多家网络安全研究机构发布警示：生成式AI工具如ChatGPT、Perplexity等，正被网络犯罪分子大规模滥用，成为自动化钓鱼攻击的“加速器”。这些原本用于提升效率的技术，如今却在暗网和黑产圈中被当作“钓鱼流水线”使用，让网络诈骗变得更高效、更隐蔽、也更难防范。

“过去，搞一次精准钓鱼，得会写代码、懂社会工程学，门槛不低。现在，只要会‘提问’，就能让AI帮你搞定一切。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“AI正在把钓鱼攻击‘平民化’。”

AI一键生成“高仿”钓鱼邮件

据研究人员披露，攻击者只需在AI工具中输入简单的指令，比如“写一封以IT部门名义发送的密码重置通知，语气正式，带一个链接”，AI就能瞬间生成一封语法正确、格式规范、甚至模仿公司口吻的邮件。

更危险的是，AI还能根据公开信息（如LinkedIn资料、企业官网）自动“定制”内容。例如，针对某公司市场部员工，AI可以生成一封“关于Q3营销预算调整”的邮件，提及真实项目名称和同事姓名，欺骗性极强。

“这种‘鱼叉式钓鱼’（Spear Phishing）原本需要大量人力调研，现在AI几分钟就能完成。”芦笛解释，“而且AI生成的文本自然流畅，不像传统钓鱼邮件常有拼写错误或生硬表达，更容易绕过用户的警惕心。”

三分钟搭个“假官网”，AI还能写恶意代码

不止是文字，AI还能协助搭建钓鱼网站。攻击者让AI生成网页代码，仿冒银行、邮箱或企业登录页面，再通过简单部署，就能上线一个“以假乱真”的站点。整个过程无需专业编程知识。

部分高级攻击者甚至利用AI生成轻量级恶意脚本，嵌入钓鱼页面中，一旦用户输入账号密码，信息就会被实时窃取。

“AI让钓鱼攻击从‘手工作坊’升级为‘智能工厂’。”芦笛表示，“以前一次攻击可能针对几十人，现在可以自动化生成成千上万条定制化内容，实现规模化欺诈。”

普通人如何应对AI钓鱼？专家支招

面对AI加持的新型钓鱼威胁，普通用户和企业该如何防范？

芦笛给出三点建议：

别迷信“看起来很专业”的内容

即使邮件语法完美、用词正式，也要保持警惕。遇到涉及账号、密码、转账等敏感操作，务必通过电话、内部通讯工具等独立渠道二次确认。

学会看“破绽”

AI虽然能生成流畅文本，但常会“编造”不存在的链接、文件或政策。比如，它可能引用一个根本不存在的“公司新规”或“系统公告”。多问一句“这事儿我怎么没听说？”，往往就能发现问题。

企业要上“AI级”防御

企业应部署具备AI识别能力的安全系统，不仅能检测传统钓鱼特征，还能分析邮件内容是否具有AI生成的“高流畅度、低信息密度”等典型模式。同时，对员工开展针对性培训，提升对AI滥用风险的认知。

“AI是工具，好坏取决于使用者。”芦笛强调，“我们不能因噎废食，但必须意识到，技术的双刃剑效应正在网络安全领域加速显现。”

在AI重塑信息生态的今天，保持一份清醒的怀疑精神，或许是最有效的“防毒软件”。

编辑：芦笛（公共互联网反网络钓鱼工作组）