网络犯罪进入第五波：AI把黑客技能变成“月租服务”

你有没有想过，有一天“黑客”这个职业的准入门槛会低到什么程度？

答案可能超乎想象：只需5美元，任何人都能在暗网买到一套深度伪造工具包——AI克隆的视频演员、声音、甚至生物特征数据，一应俱全。再花10美元/月，就能订阅“深度伪造即服务”，让AI帮你实时换脸、实时变声。

这不是科幻电影，而是新加坡网络安全公司Group-IB在1月20日发布的最新报告中揭示的现实。报告将网络犯罪的历史划分为五个阶段，并明确指出：自2022年起，我们已进入第五波——“武器化AI”时代。

从病毒时代到AI犯罪：网络黑产的五次进化

回顾网络犯罪的演变史，Group-IB将其划分为五个阶段：

• 1990年代-2000年代初：机会主义的恶意软件和病毒

• 2000年代-2010年代初：有组织的网络犯罪集团崛起

• 2010年代：勒索软件与APT攻击成为主流

• 2010年代末-2020年代初：生态系统与供应链攻击

• 2022年至今：武器化AI时代

Group-IB CEO Dmitry Volkov在报告前言中一针见血地指出，AI和生成式AI工具的快速普及，正在“将人类技能转化为可规模化的服务”，使网络犯罪变得“更便宜、更快速、更具规模化”。

而这种转变的核心，在于犯罪成本的断崖式下降。

深度伪造成“白菜价”商品：5美元就能买套KYC绕过工具

Group-IB的分析师发现，生成式AI最触目惊心的滥用场景之一，是创建用于冒充真人的合成内容。这类内容可用于诱导受害者执行操作，或绕过身份认证和KYC系统，进而盗取设备访问权限、窃取资金或数据。

具体而言，暗网市场上已出现：

• “合成身份工具包”：售价低至5美元，包含AI视频演员、克隆语音、甚至生物特征数据集；

• “深度伪造即服务”：订阅费用从每月10美元起

更令人警惕的是，Group-IB记录到过去三年暗网论坛中关于此类AI犯罪工具的讨论量激增：从2020-2022年平均每年不到5万条消息，暴涨至2023年以来的每年约30万条——增长了6倍。

Group-IB网络犯罪调查部门负责人Anton Ushakov在伦敦的报告发布会上强调，这些现成的工具包已经成为暗网市场上的“大宗商品”。

“特别有意思的是，不仅预录制的深度伪造内容很流行，支持实时深度伪造的廉价工具也在快速普及，”Ushakov补充道，“当然，这些工具可能无法骗过90%的人，但如果在5%-10%的案例中有效，在现阶段就已经足够有利可图了。”

钓鱼攻击进入“AI代理”时代：自动生成诱饵、发邮件、还能自我优化

Group-IB报告强调的第二大AI滥用场景是网络钓鱼。

传统的“钓鱼即服务”(PhaaS)工具包，虽然降低了技术门槛，但攻击者仍需手动配置SMTP服务器、导入受害者名单、运行钓鱼活动。而如今，AI正在将这一切自动化。

报告显示，新一代钓鱼工具包的价格区间从“Netflix订阅费到每月200美元不等”，但其能力已经发生质的飞跃：“AI不仅改变了钓鱼内容的生成、处理、托管和运行方式，还改变了分发方式，”Ushakov解释道。

借助开源权重的LLM模型，犯罪分子正在构建能够自动化钓鱼全流程的工具：

• AI模型自动生成受害者名单

• 根据目标特征定制诱饵叙事

• 自动发送个性化钓鱼邮件

• 实时收集反馈并优化攻击策略

Group-IB甚至发现了一款将钓鱼活动“代理化”的服务：该工具使用AI代理自主开发诱饵、向受害者发送钓鱼邮件，并将信息反馈给犯罪分子，使他们能够随时间推移调整策略。

“从受害者的角度看，每一封恶意邮件都感觉是个性化的、全新的，而且钓鱼工具包的代理会源源不断地发送新邮件，”Ushakov说。不过他也指出，这种“代理化”钓鱼工具包似乎仍处于测试和开发阶段。

“暗网ChatGPT”崛起：80亿参数、零道德限制、专门写恶意代码

除了工具化和自动化，Group-IB的分析师还发现，威胁行为者已经超越了简单滥用商业聊天机器人的阶段，开始创建专有的“暗网大语言模型”(Dark LLMs)。

这些模型更稳定、更强大，且没有任何道德限制。

从早期粗糙的开源暗网LLM(如WormGPT)，这些工具已经演进为定制构建、自托管的AI模型，专门针对生成有害内容进行了优化——包括恶意软件、诈骗话术和虚假信息。它们通常在诈骗语言学或恶意代码数据集上进行微调。

这些暗网LLM协助的犯罪活动包括：

• 欺诈和诈骗内容生成：恋爱诈骗、投资诈骗、身份冒充诈骗；

• 制作钓鱼工具包：假网站、社会工程学脚本；

• 恶意软件和漏洞利用开发支持：代码片段、代码混淆；

• 初始访问协助：漏洞侦察、利用链构建

Group-IB至少识别出三家活跃的暗网LLM供应商，订阅价格从每月30美元到200美元不等，客户群超过1000名用户。

其中一个案例是Nytheon AI——这是一个不受限制的、自托管的AI聊天机器人，在暗网论坛上被宣传为“完全离线、800亿参数、通过TOR网络托管的混合LLM”，融合了DeepSeek-v3、Mistral、Llama v3 Vision等开源模型。

2025年4月，Group-IB的调查证实，Nytheon AI通过Telegram频道以订阅制销售。该工具设计为提供无审查的聊天机器人响应，其宣传的用例包括：帮助开发恶意软件、渗透测试、漏洞研究、欺诈方案设计和不受过滤的信息查询。

网络安全公司验证了Nytheon AI的AI功能、技术能力以及缺乏道德限制这一关键特征。

AI没有创造新的犯罪动机，但让犯罪“工业化”了

Group-IB的独立战略顾问、前国际刑警组织网络犯罪部门主管Craig Jones对此评论道：“AI并没有为网络犯罪分子创造新的动机，但它通过显著提升这些动机被实现的速度、规模和复杂度，使网络犯罪实现了工业化。”

“过去需要熟练操作员和时间的事情，现在可以被购买、自动化，并在全球范围内扩展。这种转变标志着一个新时代的到来——速度、数量和复杂的冒充从根本上改变了犯罪的实施方式，以及阻止犯罪的难度。”

对于网络安全从业者而言，这份报告传递的信号再清晰不过：防御方必须同步进化。

当攻击者可以用月租费获得AI代理、暗网LLM和深度伪造工具包时，传统的安全防护策略——基于特征检测、人工审核、单点防御——已经难以应对这种规模化、自动化、高度定制化的新威胁。

未来的安全体系，必然需要：

• AI对抗AI：用机器学习检测深度伪造、异常行为和自动化攻击模式；

• 多因素、多层次验证：单纯的KYC已不足以抵御合成身份攻击；

• 实时威胁情报：对暗网生态、新型工具包保持持续监控；

• 安全意识教育升级：让员工和用户认识到“个性化”邮件不等于“可信”

这场AI驱动的攻防对抗，才刚刚开始。

合作电话：18610811242

合作微信：aqniu001

联系邮箱：bd@aqniu.com