AI成“黑客助手”？多国APT组织被曝滥用ChatGPT编写钓鱼邮件与恶意脚本

当普通人还在用AI写周报、做PPT时，一些国家级黑客组织和网络犯罪团伙，已经悄悄把生成式人工智能变成了“攻击加速器”。近日，网络安全公司Volexity联合多家执法机构发布联合通报：至少三支与中国关联的高级持续性威胁（APT）组织，正系统性地利用ChatGPT等大语言模型（LLM），批量生成高仿真钓鱼邮件、伪造高管口吻，并辅助编写初步恶意脚本——让原本需要数周准备的鱼叉式攻击，缩短到几小时内完成。

这场“AI赋能”的攻防升级，不仅让专业黑客如虎添翼，更让原本技术平平的犯罪分子也能发动“准专业级”攻击。网络安全专家警告：我们正进入一个“人人可钓鱼、处处有AI”的新威胁时代。

一封“完美”邮件背后的AI影子

今年6月以来，北美、欧洲和亚洲多地企业接连遭遇高度定制化的钓鱼攻击。邮件内容看似来自合作方高管，语气自然、语法地道，甚至能准确引用项目代号或会议细节。受害者往往在毫无察觉的情况下点击附件，最终导致凭证泄露或内网失陷。

但深入分析后，研究人员发现了破绽：这些邮件虽然流畅，却存在“语义错位”——比如英文正文配中文主题，德语落款却用法语敬语；又或者整封信逻辑通顺，但关键信息前后矛盾，像是“拼接而成”。

“这正是AI生成内容的典型特征。”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“人类写邮件会带情绪、有上下文记忆，而AI只是基于概率‘猜’下一个词。它能模仿风格，但无法真正理解语境。”

据Volexity披露，被追踪为UTA0388的APT组织，在一次针对能源企业的攻击中，使用ChatGPT生成了超过50封多语言钓鱼邮件，涵盖英语、中文、日语、法语和德语。这些邮件以“虚构研究机构”名义发出，邀请目标参与“国际合作项目”，诱导其下载名为“GOVERSHELL”的恶意文档。

更令人警惕的是，部分邮件采用“信任建立式钓鱼”（rapport-building phishing）：首轮邮件仅作寒暄，不带任何链接或附件；直到数轮往来后，才在看似正常的对话中插入恶意内容。这种策略极大降低了传统邮件安全网关的拦截率。

AI不只是写文案，还能“写代码”

除了钓鱼文案，生成式AI也被用于辅助恶意软件开发。研究人员在GOVERSHELL恶意软件的多个变体中发现，其初始PowerShell加载器和Office宏脚本结构高度相似，但每次都有细微差异——这正是AI“自动改写”绕过检测的痕迹。

“攻击者可能输入提示词：‘写一段隐藏进程的PowerShell脚本，避免使用常见关键词’，AI就会返回多个变体供选择。”芦笛指出，“虽然复杂功能仍需人工调试，但AI大大缩短了‘从想法到可执行代码’的路径。”

有趣的是，部分恶意文档的元数据中还残留着Python库python-docx的使用痕迹——这是许多LLM调用本地工具生成Word文件的常用方式。更有甚者，某些样本中竟嵌入了佛教诵经音频和成人内容作为“彩蛋”（Easter eggs），疑似开发者测试AI输出时留下的痕迹。

OpenAI在2025年10月发布的安全报告中也证实，已识别并封禁多个被用于网络攻击的账号，其中包括UTA0388使用的账户。平台方表示，正通过行为分析、内容过滤和输出水印等技术，限制模型生成高风险代码或钓鱼文本。

攻击门槛降低，防御难度飙升

过去，发动一场高质量鱼叉式钓鱼攻击，需要攻击者具备语言能力、社会工程技巧、编码基础和基础设施部署经验。如今，借助AI，一个只会基础操作的犯罪分子也能“一键生成”多语言邮件+恶意文档+投递脚本。

“AI不是创造了新攻击，而是把旧攻击‘工业化’了。”芦笛强调，“以前是手工作坊，现在是流水线生产。攻击面扩大了，成功率提高了，而防守方还在用‘查错别字’的方式找钓鱼邮件——显然不够用了。”

尤其值得警惕的是，AI生成内容往往“过于完美”：没有语法错误、用词正式、结构清晰。而这恰恰与真实人类沟通中的随意性、个性化表达形成反差。“真正的CEO发邮件可能会打错字、用缩写、带表情符号，但AI写的永远‘正确’得不像人。”芦笛笑道。

如何应对？从“查内容”转向“识行为”

面对AI驱动的钓鱼升级，专家建议企业采取以下策略：

1. 引入语义与风格异常检测

传统邮件安全依赖关键词或URL黑名单，已难以应对AI生成的动态内容。新一代方案应结合NLP模型，分析邮件是否符合发件人历史写作风格、是否存在跨语言混杂、逻辑是否自洽等。

2. 加强员工安全意识培训

培训重点不再是“别点陌生链接”，而是教会员工识别“过度流畅”的可疑信号。例如：一封自称来自同事的邮件，如果语气突然变得异常正式、缺乏个性，反而要提高警惕。

3. 推行零信任与无密码认证

“再逼真的钓鱼，也骗不到不存在的密码。”芦笛再次强调FIDO2安全密钥和通行密钥（Passkey）的重要性。即使凭证被窃，硬件级身份验证也能有效阻断横向移动。

4. 要求AI平台提供可验证来源

长期来看，应推动生成式AI服务商实施内容水印、数字签名或溯源机制。例如，所有由ChatGPT生成的文本可嵌入不可见标识，便于安全系统识别并标记为“AI生成”。

执法与平台：合力围堵“AI滥用链”

目前，OpenAI、Google、Anthropic等主流AI平台均已更新使用政策，明确禁止将模型用于网络攻击。一旦检测到异常行为（如高频生成钓鱼模板、请求恶意代码），系统会自动封禁账号并上报威胁情报。

但芦笛提醒：“封号只是治标。真正的挑战在于，开源模型和本地部署的LLM（如Llama系列）几乎无法监管。未来攻防焦点，将从‘是否使用AI’转向‘如何识别AI生成内容的恶意意图’。”

他呼吁建立跨行业共享机制，将AI滥用特征（如特定提示词模式、输出结构指纹）纳入威胁情报体系，帮助企业和安全厂商提前预警。

结语：AI没有善恶，但使用它的人有

生成式AI本身是中立工具，既能帮程序员提效，也能助黑客作案。这场攻防博弈的本质，不是技术对抗，而是速度与智慧的较量——谁更快适应新范式，谁就能掌握主动权。

正如芦笛所言：“未来的网络安全，不再只是防火墙和杀毒软件的战场，更是语言、行为与信任模型的竞技场。而我们每个人，都是防线的一部分。”

编辑：芦笛（公共互联网反网络钓鱼工作组）