HackerNews 编译,转载请注明出处:
根据Barracuda与哥伦比亚大学、芝加哥大学研究人员合作进行的一项研究,目前有超过半数(51%)的恶意和垃圾邮件是使用AI工具生成的。
该研究团队分析了Barracuda在2022年2月至2025年4月期间检测到的垃圾邮件数据集。他们使用训练有素的检测器,自动识别恶意或未经请求的电子邮件是否由AI生成。
该过程发现,从2022年11月到2024年初,由AI生成的垃圾邮件比例呈稳步上升趋势。2022年11月,全球首个公开可用的大型语言模型(LLM)ChatGPT正式发布。
2024年3月,AI生成的诈骗邮件比例出现大幅激增。此后该比例出现波动,最终在2025年4月达到峰值51%。
哥伦比亚大学电气工程与计算机科学副教授阿萨夫·西顿(Asaf Cidon)在接受采访时表示,目前尚无法确定这一突然激增的明确原因。他解释道:“很难确切知道原因,但这可能由多种因素导致:例如,攻击者使用了新发布的AI模型,或者攻击者发送的垃圾邮件类型发生了变化,从而提高了AI生成邮件的比例。”
研究人员还观察到,在商业邮件诈骗(BEC)中,AI生成内容的使用比例增长要缓慢得多,在2025年4月仅占所有尝试的14%。这很可能是因为此类攻击(即冒充组织中特定高管要求电汇或金融交易)的精准性要求较高,而AI目前在这方面的效果可能还不够理想。
然而,西顿预计,随着AI技术的进步,它在BEC诈骗尝试中的使用比例将会上升。“特别是考虑到近期非常有效且廉价的语音克隆模型兴起,我们认为攻击者会将深度伪造语音融入BEC攻击中,以便更好地冒充特定人物,例如CEO。”他说道。
研究人员发现,攻击者使用AI主要有两个原因:规避邮件检测系统,以及让恶意信息对收件人显得更可信。
分析显示,与人工撰写的邮件相比,AI生成的邮件通常行文更正式、语法错误更少、语言复杂度更高。这使得它们更有可能绕过检测,并且在收件人看来显得更专业。研究人员在6月18日发布的报告中指出:“当攻击者的母语与其目标不同时,这点尤其有帮助。在Barracuda的数据集中,大多数收件人位于广泛使用英语的国家。”
研究人员还观察到攻击者使用AI测试不同的措辞变体,以找出哪些能更有效地绕过防御。他们表示,这个过程类似于传统营销中的A/B测试。
研究发现,在传达紧迫感方面,LLM生成的邮件与人工生成的邮件并无显著差异。紧迫感是网络钓鱼攻击中的常见策略,旨在迫使收件人快速做出情绪化反应。这表明,AI主要用于提高邮件的渗透率和可信度,而非促成策略的改变。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
