資訊安全
Google 揭中國 PhaaS 服務升級具 AI 生成偽冒網站能力

Google 揭中國 PhaaS 服務升級具 AI 生成偽冒網站能力

2026/05/28

Google 揭中國釣魚即服務(PhaaS)平台升級,整合 AI 生成偽冒網站能力大幅提升攻擊效率。AI 武器化在網路犯罪領域進入新階段。

Google 資安研究團隊揭露中國釣魚即服務(PhaaS, Phishing-as-a-Service)平台升級,整合 AI 自動生成偽冒網站能力,大幅提升釣魚攻擊的效率與成功率。這項發現顯示 AI 武器化在網路犯罪領域進入新階段,並對全球資安防禦能力提出嚴峻挑戰,可能引發新一輪的攻防技術競賽。

「釣魚即服務」是網路犯罪的商業化模式之一,犯罪集團將釣魚攻擊所需的工具、模板、基礎設施等打包為服務,租賃給其他犯罪者使用。這個模式類似合法的 SaaS(軟體即服務),降低了發動釣魚攻擊的技術門檻,使非技術背景的犯罪者也能輕易發動大規模攻擊。中國 PhaaS 平台是全球此類服務的主要供應源之一。

AI 整合升級涵蓋幾個關鍵能力。第一是自動偽冒網站生成:透過分析目標網站的設計、內容、互動模式,AI 可在數秒內生成幾乎完全相同的偽冒網站,包括按鈕、表單、登入流程、視覺風格等。傳統釣魚網站需要犯罪者手動複製與修改,效率低且容易出錯;AI 生成的偽冒網站幾乎與原網站無法區分。

第二是個人化釣魚訊息:AI 分析目標的社群媒體、職業背景、興趣偏好,生成高度個人化的釣魚郵件或訊息。相較傳統千篇一律的釣魚訊息,個人化版本的點擊率與成功率顯著提升。第三是多語言支援:AI 可自動將釣魚內容翻譯至多種語言,覆蓋全球目標。第四是動態適應:AI 可即時分析受害者的反應,調整後續攻擊策略以提升成功率。

對企業與個人使用者的威脅顯著升級。傳統釣魚攻擊雖然數量大但成功率有限(通常 1 至 5%),AI 強化後成功率可能提升至 10 至 20% 甚至更高。對於企業而言,這意味著員工被釣魚攻擊得手的機率大幅增加,可能導致憑證外洩、財務損失、商業機密竊取、勒索軟體入侵等多重風險。

從攻擊鏈完整性看,AI 強化的 PhaaS 通常作為複雜攻擊的第一階段。攻擊者透過釣魚取得初始存取後,可進一步使用其他工具(如惡意程式、橫向滲透工具)擴大攻擊範圍。AI 強化的攻擊鏈使整個犯罪流程更高效、更難被偵測、更難被追蹤。

Google 揭露的具體技術細節涉及幾個面向。攻擊者使用的 AI 模型可能是基於開源大型語言模型微調的特殊版本,避開了商業 AI 業者的安全限制。基礎設施部署在多個國家的雲端服務上,使用快速變動的 IP 與域名以避免封鎖。支付方式採用加密貨幣維持匿名性。客戶服務透過暗網論壇與加密通訊工具進行。

對全球資安防禦的挑戰是嚴峻的。傳統防釣魚機制(如域名過濾、SSL 憑證檢查、URL 黑名單)對 AI 生成的偽冒網站效果有限,因為這些網站可快速產生新域名、取得有效 SSL 憑證、模仿合法網站結構。資安業者必須開發新一代的 AI 驅動防禦技術,包括:行為分析、機器學習異常偵測、即時威脅情資、使用者教育強化等。

對 Google 自身的影響也值得關注。Google 既是 AI 技術的主要供應者(Gemini),也是釣魚攻擊的主要被冒充對象(Gmail、Google Workspace、Google Drive 等)。Google 必須在推動 AI 普及與防止 AI 被武器化之間找到平衡,這需要技術、政策、合作等多管齊下的策略。

從監管角度看,AI 武器化議題已成為全球資安監管的核心挑戰之一。歐盟 AI 法案、美國 AI 行政命令、英國 AI 安全研究所等都試圖建立 AI 治理框架,但執行層面仍面臨多重挑戰。國際合作機制(如 Five Eyes 情資聯盟、Interpol 網路犯罪部門)需要更強的協調能力應對跨國 AI 犯罪。

對台灣的具體啟示包含幾個面向。第一是企業與個人警覺:台灣使用者廣泛使用 Google 服務、銀行網銀、電商平台等,都是釣魚攻擊的主要目標。需要強化員工教育、家庭資安意識、學校資安課程等。第二是本土資安能力:台灣資安業者需要發展對抗 AI 強化釣魚攻擊的工具與服務。第三是政策框架:數位發展部、刑事局、調查局等政府機構需建立更完整的反釣魚協作機制。第四是國際合作:與美國、日本、歐盟等盟友加強反 AI 犯罪情資交流。

從產業意義看,AI 武器化現象反映「攻防不對稱」的挑戰。犯罪者使用 AI 提升攻擊效率的速度,往往快於防禦者使用 AI 強化防禦的速度。這個不對稱性可能在未來幾年內持續加劇,需要全球資安生態系的協同應對。

業界分析人士指出,這次 Google 的揭露是「AI 治理」議題的重要轉折點。當 AI 武器化從理論討論轉為實際威脅,AI 業者、政府、企業、消費者都必須採取更積極的行動。可能的應對方向包括:AI 業者強化模型安全設計、政府建立 AI 武器化的法律規範、企業投資 AI 驅動的資安防禦、消費者提升個人資安素養等。

對全球網路犯罪生態系的影響可能深遠。隨著 AI 工具普及,網路犯罪的入門門檻持續降低,犯罪規模可能爆炸性成長。同時,AI 也為資安防禦提供新工具,攻防雙方的軍備競賽將進入新階段。誰能在這場競賽中保持領先,將決定未來十年網路空間的安全格局。

短期內,全球資安業者與政府機構將加強對 AI 強化釣魚攻擊的監控與對抗。中長期觀察重點則在於 AI 業者能否系統性降低濫用風險、資安業界能否開發出有效的 AI 攻擊偵測技術、以及全球監管框架如何回應 AI 武器化挑戰,這些將共同決定 AI 時代的資安防護水準。

相關文章