不久的将来,‘钓鱼即服务’市场将全面转向AI鱼叉式钓鱼代理。
网络安全行业最担心的事最终还是发生了:AI驱动的鱼叉式网络钓鱼(spear phishing)已全面超越顶尖人类黑客的表现,真正的转折点发生在2025年初。如果再加上AI在速度和规模上的惊人优势,AI辅助社会工程攻击的前景令人担忧。
自2023年起,网络安全公司Hoxhunt持续开展实验,将AI生成的鱼叉式网络钓鱼与专家红队(red team)生成的内容进行对比,结果显示AI性能提升了55%。2023年实验启动时,AI的钓鱼效果比人类低31%;到了2025年3月,AI已比人类高出24%。这里的“效果”以钓鱼邮件诱导目标点击的成功次数来衡量。
2023年的结果与IBM X-Force Red同期开展的独立研究相呼应。IBM的研究显示,人类制作的钓鱼邮件点击率为14%,而AI生成的仅为11%,证明当时人类仍是更优秀的“钓鱼者”。两项实验均通过提示工程利用ChatGPT生成钓鱼内容,因为那时尚无其他广泛可用的AI工具。
IBM X-Force Red的首席社交工程专家Snow Carruthers指出,2023年AI表现不佳的主要原因是其缺乏情感智能。她表示:“人类对情感的理解是AI望尘莫及的。我们能编织触动心弦的故事,语气更真实,从而更容易诱导收件人点击恶意链接。”不过,她也补充道:“我最大的感悟是,未来的图景值得深思。如果生成式AI(gen-AI)持续进步,变得更像人类,这些钓鱼邮件可能会带来毁灭性影响。”
这一预言在2024年随着“代理AI”(agentic AI)的到来开始应验。这种AI具备学习和适应的能力。意识到恶意攻击者也会转向代理AI,Hoxhunt开发了自己的鱼叉式钓鱼代理程序,代号JKR(Joker的缩写),继续其对比分析。结果,AI生成的鱼叉式钓鱼效果迅速提升,开始逼近人类水平。
2024年,Hoxhunt的实验显示,AI生成的鱼叉式钓鱼与人类制作的差距显著缩小,从2023年的落后31%减少到仅落后10%。但2025年才是真正的震撼时刻。Hoxhunt联合创始人兼首席技术官Pyry Avist写道:“2024年11月至2025年2月短短三个月内,AI鱼叉式钓鱼代理的效果加速提升令人瞠目。”按时间线来看,AI在2023年比人类低效31%,2024年缩小至低效10%,而到2025年3月,AI网络钓鱼的效率已比人类高出24%。
Avist强调:“我们已经证明,AI代理能够大规模生成更优质的鱼叉式钓鱼攻击。不久的将来,‘钓鱼即服务’市场将全面转向AI鱼叉式钓鱼代理。一旦这一转变发生,大规模钓鱼活动的基准质量和效果将提升到目前仅见于针对性鱼叉式攻击的水平。”
这不再是纸上谈兵。随着AI技术的迭代,网络犯罪的门槛正在降低,而防御方的压力却在陡增。2025年,AI不仅追平了人类精英,甚至开始改写游戏规则。面对这一趋势,企业与个人的网络安全策略,或许需要一次彻底的升级。
参考链接:https://hoxhunt.com/blog/ai-powered-phishing-vs-humans
本文转自:GoUpSec,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。
