网络安全领域最近有一个让人既兴奋又警惕的现象，生成式AI正以一种“矛和盾同时升级”的方式，改写网络钓鱼攻防战的基本规则。IRONSCALES 联合 Osterman Research 在2026年6月发布了一份极具参考价值的行业报告《The (Higher) Business Cost of Phishing》，这份报告恰好捕捉到ChatGPT发布前后三年间的关键变化——从2022年10月（AI普及前一个月）到2026年6月（AI普及三年后）——形成了一组难得可贵的“AI入驻前后”对照数据。

事情的走向相当有趣，甚至有些反直觉。企业普遍部署了AI赋能的防御工具，单次钓鱼事件的处理效率确实提升了——处置时长缩短了16%，单封邮件的处置成本下降了12%。乍一听，这不是挺好的吗？但别急，问题的关键在于总量。攻击总量和复杂度的同步暴涨，让安全团队的整体运维成本不降反升。钓鱼事件占用的安全团队工时从33.5%涨到了37%，每位安全分析师每年的相关运营成本也从45726美元飙升到了51948美元，涨幅高达13.6%。

从攻击者的角度看，生成式AI彻底改变了游戏规则。Verizon 2026年的数据泄露报告也佐证了这一点：AI辅助生成的恶意邮件数量三年间翻了一番，而在所有由AI驱动的初始入侵手段中，钓鱼占比高达44%。攻击者现在可以借助大语言模型，把原本需要数小时整理情报、撰写诱饵的个性化鱼叉钓鱼工作，压缩到几分钟内完成。更令人不安的是深度伪造音视频钓