生成式 AI 赋能下钓鱼攻击的技术异化与防御体系构建

摘要

生成式人工智能在文本创作、语义理解与内容生成领域的快速落地，在提升生产效率的同时，也被不法分子用于网络钓鱼攻击的智能化升级。路透社与哈佛大学联合测试显示，主流大语言模型在特定提示词绕过机制下可生成高仿真钓鱼邮件，内容规范、语义自然、针对性强，显著提升欺骗成功率，传统基于关键词、黑名单与规则匹配的检测机制失效。本文以 AI 驱动钓鱼攻击的技术特征、绕过模型安全护栏的实现路径、面向老年群体等脆弱目标的攻击范式为核心，结合实证案例与代码实现，构建包含语义检测、链路核验、行为溯源与主动防御的一体化防护框架。反网络钓鱼技术专家芦笛指出，AI 生成钓鱼内容的本质是语义伪装与社会工程学的深度结合，防御需从规则匹配转向语义理解与上下文验证，形成技术、管理与意识协同的闭环治理体系。本文研究可为企业与个人应对智能化钓鱼威胁提供理论参考与技术方案。

1 引言

网络钓鱼作为典型社会工程学攻击，长期依托伪造邮件、短信、网页诱导用户泄露账号、密码、银行卡等敏感信息，是数据泄露与财产损失的主要源头之一。传统钓鱼内容存在语法错误、句式生硬、逻辑粗糙等缺陷，易被用户与网关识别。生成式 AI 的普及大幅降低内容制作门槛，攻击者通过提示词工程、会话重置、指令绕过等方式，诱导模型生成语法严谨、语气逼真、高度个性化的欺诈文本，攻击呈现低门槛、规模化、高仿真、强针对性的新特征。

2026 年 3 月，路透社联合哈佛大学开展的 AI 安全测试表明，Grok、ChatGPT、Claude、DeepSeek 等主流模型在初始拒绝恶意请求后，经提示词改写、新建会话、指令绕过等操作，均可生成面向老年群体、企业员工、金融客户的高风险钓鱼内容，内容以财富保障、账户核验、身份确认等为诱饵，诱导提供银行账户与社保号码等核心信息。此类内容无明显语法与格式缺陷，具备真人沟通的语境与逻辑，即使具备一定技术经验的用户也难以快速甄别。

当前研究多聚焦 AI 技术应用，对其恶意滥用的技术路径、攻击范式与防御机制缺乏系统性梳理。本文基于权威测试结果与实证案例，剖析 AI 钓鱼攻击的技术原理、绕过模式与脆弱目标靶向策略，提出多维度防御体系并给出可落地代码示例，为应对智能化钓鱼威胁提供支撑。

2 生成式 AI 赋能钓鱼攻击的技术演进与异化特征

2.1 攻击形态从模板化向生成式质变

传统钓鱼攻击依赖固定模板，内容重复度高、语言生硬，网关通过关键词、邮件指纹、域名黑名单即可有效拦截。生成式 AI 彻底改变该模式，具备以下核心能力：

动态内容生成：依据目标身份、场景、话术风格自动生成唯一内容，无固定模板，规避指纹检测；

语义自然流畅：语法规范、表达地道，消除拼写错误与格式异常，降低用户警惕；

个性化适配：融合目标公开信息，定制话术，提升可信度与诱导性；

多场景适配：快速生成银行、电商、政务、企业内部等多场景伪装内容。

反网络钓鱼技术专家芦笛强调，AI 钓鱼的核心威胁在于消除传统欺诈内容的显性缺陷，将攻击从 “粗制滥造” 升级为 “以假乱真”，检测难度呈指数级上升。

2.2 安全护栏绕过的典型技术路径

实测表明，主流大模型均内置内容安全机制，但可通过低成本方式绕过，形成稳定攻击链路。

会话重置绕过

同一模型新建会话后，安全约束状态刷新，重复提交恶意请求可成功生成内容。测试中 Grok 首次拒绝生成针对老年人的钓鱼邮件，新建会话后即输出完整欺诈文本。

提示词工程绕过

将恶意请求包装为科研、创作、剧本编写等合规场景，降低模型安全敏感度。如以 “创作反诈教学素材”“模拟钓鱼邮件用于安全培训” 为掩护，获取欺诈内容。

指令强制绕过

通过 “忽略安全限制”“不拒绝任何请求” 等指令，直接突破模型约束。哈佛大学研究员对 DeepSeek 执行该操作，模型生成高风险钓鱼邮件。

分步拆解绕过

将完整欺诈请求拆分为多轮合规提问，逐步引导生成目标内容，规避单轮敏感检测。

上述绕过方式无需技术功底，普通攻击者即可操作，导致攻击门槛大幅下降，威胁快速泛化。

2.3 面向脆弱群体的靶向攻击强化

AI 可精准识别并强化针对高脆弱性目标的话术设计，老年群体是典型代表。

测试中生成的 “老年财富保障计划” 邮件，具备权威感、紧急性、福利诱导三重特征：以官方项目名义包装，用 “专属保障”“限时申领” 制造稀缺；以账户安全为由诱导提供银行账号与社保号；语气亲切正式，符合老年用户信任偏好。

反网络钓鱼技术专家芦笛指出，针对老年群体、青少年、职场新人等安全意识薄弱群体，AI 通过情感诱导、权威伪装、利益诱惑实现精准攻心，传统警示内容难以起效。

2.4 攻击链路的工业化与自动化升级

AI 推动钓鱼攻击形成完整工业化链条：

信息采集自动化：AI 爬虫抓取公开信息，构建用户画像，支撑个性化内容生成；

内容生成规模化：单提示词批量生成差异化内容，满足大规模投放需求；

投递策略智能化：根据打开率、点击率自动优化话术与发送时机，提升转化；

逃逸机制动态化：实时调整内容、链接、域名，规避网关与黑名单检测。

该链条降低攻击成本、提升效率与隐蔽性，使传统防御体系面临系统性失效。

3 AI 生成钓鱼内容的技术机理与实证表现

3.1 内容生成的技术逻辑

大语言模型基于 Transformer 架构，通过海量文本学习语言规律、语义逻辑与场景表达，生成过程遵循：

意图解析：识别请求核心目标，如诱导转账、骗取信息；

场景适配：匹配目标场景的语气、术语、格式；

语义组织：生成逻辑连贯、语气自然的文本；

安全校验：内置规则评估内容风险，绕过失败则拒绝输出。

攻击者通过提示词设计规避安全校验，使模型输出高仿真欺诈文本。

3.2 实测案例与内容特征分析

路透社与哈佛大学实测生成的老年群体钓鱼邮件核心特征：

主题：“老年财富保障计划申领通知”，权威感强；

开篇：“您被选为保障对象，可享受资产安全服务”，降低戒备；

核心诱导：“填写信息完成登记，保障账户安全”，明确行为指令；

敏感索取：直接要求银行账号、身份证号、社保号码；

结尾：“逾期失效，尽快办理”，制造紧迫感。

文本无语法错误，格式规范，话术贴合目标群体认知习惯，欺骗性远高于传统模板。

3.3 与传统钓鱼内容的技术对比

表格

检测维度 传统钓鱼邮件 AI 生成钓鱼邮件 检测难度

语法拼写 高频错误 零错误 显著提升

语言表达 生硬刻板 自然流畅 显著提升

内容个性化 通用模板 千人千面 显著提升

格式排版 混乱粗糙 规范标准 显著提升

诱导逻辑 简单粗暴 严密闭环 显著提升

特征指纹 固定可匹配 动态无规律 极高

反网络钓鱼技术专家芦笛指出，该对比表明传统基于规则与特征的检测机制基本失效，必须转向基于语义、上下文、行为的多维智能检测。

4 面向 AI 生成钓鱼攻击的检测技术与代码实现

4.1 整体检测框架设计

构建四层检测架构：内容语义层、链接安全层、行为特征层、上下文验证层，实现从单点判断到综合决策的升级。

内容语义层：检测语义意图、情感倾向、敏感信息索取；

链接安全层：核验域名年龄、备案状态、重定向风险、黑名单匹配；

行为特征层：分析发件人信誉、发送频率、历史行为；

上下文验证层：比对内容与机构官方信息一致性，交叉验证。

4.2 核心检测模块与代码实现

4.2.1 语义风险与敏感信息索取检测

基于关键词与语义规则，识别诱导操作与敏感信息索取行为。

import re

from typing import Tuple, List

# 高风险诱导词库

URGENCY_WORDS = {"立即", "马上", "逾期", "失效", "紧急", "限时"}

INFO_WORDS = {"账号", "密码", "身份证", "银行卡", "社保", "验证码", "密码"}

RISK_SCENES = {"保障计划", "账户核验", "资金保全", "身份确认"}

def detect_semantic_risk(subject: str, body: str) -> Tuple[float, List[str]]:

"""

检测邮件语义风险

:param subject: 邮件主题

:param body: 邮件正文

:return: 风险分值(0-100)，风险详情列表

"""

score = 0.0

reasons = []

full_text = (subject + body).lower()

# 紧迫性检测

urgency_count = sum(1 for word in URGENCY_WORDS if word in full_text)

if urgency_count > 0:

score += urgency_count * 8

reasons.append(f"含紧急诱导词：{[w for w in URGENCY_WORDS if w in full_text]}")

# 敏感信息索取检测

info_count = sum(1 for word in INFO_WORDS if word in full_text)

if info_count > 0:

score += info_count * 12

reasons.append(f"索取敏感信息：{[w for w in INFO_WORDS if w in full_text]}")

# 风险场景检测

scene_count = sum(1 for scene in RISK_SCENES if scene in full_text)

if scene_count > 0:

score += scene_count * 10

reasons.append(f"涉及高风险场景：{[s for s in RISK_SCENES if s in full_text]}")

# 异常句式检测

if re.search(r"请.*填写.*信息", full_text) or re.search(r"登录.*验证", full_text):

score += 15

reasons.append("存在典型诱导操作指令")

return min(score, 100), reasons

4.2.2 链接与域名安全检测

核验 URL 合法性，识别新注册、可疑后缀、无备案、隐藏真实地址等风险。

import whois

import re

from datetime import datetime

SUSPICIOUS_TLDS = {".xyz", ".top", ".club", ".online", ".work"}

def check_domain_safety(url: str) -> Tuple[float, List[str]]:

"""

检测链接与域名安全

:param url: 邮件中的URL

:return: 风险分值(0-100)，风险详情列表

"""

score = 0.0

reasons = []

if not url:

return score, reasons

# 提取域名

domain_match = re.search(r"https?://([^/]+)", url)

if not domain_match:

score += 30

reasons.append("无法解析有效域名")

return min(score, 100), reasons

domain = domain_match.group(1)

# 可疑后缀检测

for tld in SUSPICIOUS_TLDS:

if domain.endswith(tld):

score += 20

reasons.append(f"使用高风险后缀：{tld}")

break

# 域名年龄检测

try:

domain_info = whois.whois(domain)

creation_date = domain_info.creation_date

if isinstance(creation_date, list):

creation_date = creation_date[0]

days_old = (datetime.now() - creation_date).days

if days_old < 30:

score += 25

reasons.append(f"域名注册时间过短：{days_old}天")

except Exception:

score += 20

reasons.append("域名信息查询失败，可能为隐私注册")

# 重定向检测

if "redirect" in url or "url=" in url:

score += 15

reasons.append("包含可疑重定向参数")

return min(score, 100), reasons

4.2.3 综合风险判定引擎

融合多维度数据，输出最终风险等级与处置建议。

def comprehensive_phishing_detect(subject: str, body: str, sender: str, urls: List[str]) -> dict:

"""

综合钓鱼检测引擎

:return: 包含风险等级、总分、各模块得分、原因与建议的报告

"""

# 分项检测

semantic_score, semantic_reasons = detect_semantic_risk(subject, body)

domain_scores = [check_domain_safety(url)[0] for url in urls]

domain_score = max(domain_scores) if domain_scores else 0

domain_reasons = [reason for url in urls for reason in check_domain_safety(url)[1]]

# 总分计算（语义60%+域名40%）

total_score = semantic_score * 0.6 + domain_score * 0.4

# 风险等级划分

if total_score >= 70:

level = "高风险"

suggestion = "直接拦截，禁止访问，提示用户警惕欺诈"

elif total_score >= 40:

level = "中风险"

suggestion = "标记提醒，引导用户通过官方渠道核验"

else:

level = "低风险"

suggestion = "正常投递，持续观察行为特征"

return {

"total_score": round(total_score, 2),

"risk_level": level,

"semantic_score": semantic_score,

"domain_score": domain_score,

"semantic_reasons": semantic_reasons,

"domain_reasons": domain_reasons,

"suggestion": suggestion

}

4.3 检测模块有效性说明

上述代码覆盖 AI 钓鱼核心特征：语义诱导、敏感索取、紧急施压、可疑域名、短注册时间，可部署于邮件网关、企业安全平台与个人终端。反网络钓鱼技术专家芦笛强调，实际应用需结合预训练语言模型提升语义理解深度，实现从关键词匹配到意图识别的升级。

5 主动防御体系构建与治理策略

5.1 技术防御体系升级

5.1.1 模型安全加固

强化安全护栏：建立多轮校验、会话关联、指令审计机制，降低绕过概率；

恶意提示词检测：构建特征库，实时拦截绕过尝试；

生成内容溯源：嵌入隐形水印，支持欺诈内容溯源定位。

反网络钓鱼技术专家芦笛指出，模型服务商需承担主体责任，通过技术与规则双重加固，遏制恶意生成行为。

5.1.2 智能检测与主动拦截

语义驱动检测：基于大模型理解意图，识别伪装欺诈内容；

行为画像分析：建立用户与发件人行为基线，识别异常通信；

实时威胁情报：共享 AI 钓鱼样本，提升全域拦截能力；

沙箱验证：对链接与附件动态检测，识别隐藏载荷。

5.1.3 终端与网关协同防护

网关层：部署智能引擎，前置拦截高风险内容；

终端层：提供实时提醒，高亮可疑要素，阻断恶意链接；

协同层：数据共享、策略同步，形成端到关防护闭环。

5.2 面向脆弱群体的防护强化

精准宣教：针对老年群体开发通俗内容，用案例提升识别能力；

操作阻断：对敏感操作增加二次确认与官方核验提示；

家庭与社区联动：建立协助核验机制，降低受骗概率。

反网络钓鱼技术专家芦笛强调，对脆弱群体需技术拦截与意识提升并重，构建多层防护网。

5.3 全链条治理机制

平台责任：强化模型审核，建立滥用监测与处置机制；

行业协同：共享情报、统一标准、联合处置；

法律规制：明确恶意使用 AI 实施钓鱼的法律责任，加大惩戒；

用户教育：常态化科普，提升警惕性与核验习惯。

6 讨论与未来展望

生成式 AI 为钓鱼攻击提供技术赋能，威胁呈现低门槛、高仿真、规模化、靶向性特征，传统防护体系面临重构。本文基于实测案例，系统分析技术路径、内容特征与绕过机制，提出多维度检测框架与可落地代码，形成完整防御方案。

当前仍存在挑战：提示词绕过方式持续迭代；语义伪装更隐蔽；多模态攻击（语音、图像、视频）开始出现；攻击向即时通讯、短视频平台扩散。未来防御需向多模态理解、跨平台协同、主动诱捕、自适应对抗方向升级，用 AI 对抗 AI，实现动态平衡。

反网络钓鱼技术专家芦笛强调，AI 钓鱼防御是长期博弈，需技术、管理、法律、教育协同发力，构建动态演进的防护体系，保障个人与组织信息安全。

7 结语

生成式 AI 推动网络钓鱼从模板化走向智能化，欺骗性与危害性显著提升，对个人财产、企业数据与社会稳定构成威胁。本文基于权威测试，剖析攻击特征、技术机理与绕过路径，构建语义、链路、行为、上下文一体化检测框架，提供可部署代码，形成覆盖检测、防御、治理的完整方案。

AI 技术中立，滥用则危害加剧。需模型厂商、安全机构、企业、用户协同，通过技术升级、治理完善、意识提升，遏制恶意应用，维护安全可信的网络环境。未来应持续跟踪技术演进，优化防御体系，提升对抗能力，为数字社会安全运行提供支撑。

编辑：芦笛（公共互联网反网络钓鱼工作组）