人工智能网络钓鱼频发，人类攻击频率的4.5倍，解决之道何在？

现代数字环境有一种奇特的特征：一切在某种程度上既与以往相同，又完全不同。我们仍然使用谷歌，但我们在上面得到了一个方便的人工智能摘要。我们仍然会遭遇网络钓鱼，但这次是人工智能在实施。在这一点上，微软2025年数字防御报告（PDF文件警告）指出，人工智能在让用户点击恶意链接方面的成功率实际上是标准尝试的4.5倍（通过 The Register）。

具体来说，“人工智能自动化的钓鱼邮件的点击率达到了54%，而标准尝试的点击率为12%”，因为“人工智能使得钓鱼更加有针对性，并且提供了更好的钓鱼诱饵。”报告中的大部分数据来自微软2025财年，从2024年7月1日到2025年6月30日。

此外，“人工智能自动化有潜力通过将高度针对性的攻击扩展到数千个目标，以最低的成本将钓鱼的盈利能力提高至多50倍。这种巨大的投资回报将激励那些尚未使用人工智能的网络威胁行为者在未来将其加入他们的工具箱。”

例如，这可能是一封假装来自你雇主的电子邮件，试图让你下载一个伪装成无害的演示文稿或电子表格的恶意文件。或者它可能会把你引导到一个要求你提供个人信息的网站。

微软解释说，人工智能可以“自动化网络钓鱼攻击，生成深度伪造，并制作高度可信的欺诈信息。”这很有道理，因为人工智能的发展已经相当成熟，可以制作出那些非常聪明、知识渊博的恶意行为者才能设计的攻击和利用。

这些网络钓鱼统计数字只是指向一个更普遍的趋势——这也是意料之中的，即人工智能被用于不法目的，而不仅仅限于网络钓鱼：

“我们看到对手正在利用生成性人工智能进行各种活动，包括扩大社交工程、自动化横向渗透、进行漏洞发现，甚至能够实时规避安全防护。自主恶意软件和人工智能驱动的程序现在能够随时调整战术，挑战防御者，让他们超越静态检测，采用基于行为的预判防御。”

听到这样的事情时，跳上反对人工智能的声音可能很容易——我对这种情绪并不陌生——但我意识到，今天我也听到人工智能发现了一种有前景的新癌症治疗方法。这总是有利有弊。

此外，人工智能如今用于防御网络攻击。我想这就是军备竞赛的常态；我心里的现实主义者觉得，这种以牙还牙的升级是维持各国和势力之间平衡的必然。

好消息是，原则上我们似乎不需要做太多不同的事情——只需加大力度去做同样的事情。例如，微软表示：“无论网络威胁环境如何变化，多因素认证（MFA）仍然可以阻止超过99%的未经授权的访问尝试，这使得它成为组织可以采取的最重要的安全措施。”

当然，MFA可能对防止您遭受网络钓鱼攻击的效果不大。不过，在这方面，微软的建议还是对我们熟悉的防御措施进行更多和更好的实施：收件箱过滤器、限制外部通信、限制远程访问工具、教育用户，以及留意常见的攻击行为模式。