网络安全领域最近有一个让人既兴奋又警惕的现象,生成式AI正以一种“矛和盾同时升级”的方式,改写网络钓鱼攻防战的基本规则。IRONSCALES 联合 Osterman Research 在2026年6月发布了一份极具参考价值的行业报告《The (Higher) Business Cost of Phishing》,这份报告恰好捕捉到ChatGPT发布前后三年间的关键变化——从2022年10月(AI普及前一个月)到2026年6月(AI普及三年后)——形成了一组难得可贵的“AI入驻前后”对照数据。
事情的走向相当有趣,甚至有些反直觉。企业普遍部署了AI赋能的防御工具,单次钓鱼事件的处理效率确实提升了——处置时长缩短了16%,单封邮件的处置成本下降了12%。乍一听,这不是挺好的吗?但别急,问题的关键在于总量。攻击总量和复杂度的同步暴涨,让安全团队的整体运维成本不降反升。钓鱼事件占用的安全团队工时从33.5%涨到了37%,每位安全分析师每年的相关运营成本也从45726美元飙升到了51948美元,涨幅高达13.6%。
从攻击者的角度看,生成式AI彻底改变了游戏规则。Verizon 2026年的数据泄露报告也佐证了这一点:AI辅助生成的恶意邮件数量三年间翻了一番,而在所有由AI驱动的初始入侵手段中,钓鱼占比高达44%。攻击者现在可以借助大语言模型,把原本需要数小时整理情报、撰写诱饵的个性化鱼叉钓鱼工作,压缩到几分钟内完成。更令人不安的是深度伪造音视频钓
