随着人工智能技术的飞速发展，AI已经深入到生活的各个领域。AI大模型在邮件安全领域展现出巨大潜力，尤其是反钓鱼检测上的应用，正逐渐展现出其独特的价值。

4月24日，CACTER AI实验室高级产品经理刘佳雄在直播交流会上分享了CACTER AI实验室对AI大模型在邮件反钓鱼检测的应用潜力的探索，主要探讨其在识别钓鱼邮件、提升邮件安全性能以及未来发展方向的可能性。

基于AI大模型的钓鱼邮件分析

CACTER AI实验室通过使用清华ChatGLM大模型对百万级邮件数据进行实验分析，发现了AI大模型在钓鱼邮件检测中的三个亮点：

01、常见钓鱼邮件类型的覆盖

AI大模型在识别和捕获恶意邮件方面确实表现出了强大的能力，能够识别包括链接类型、社工类型、图片二维码类型以及附件文档类型在内的多种钓鱼邮件。然而，AI大模型在实际操作中可能会出现的误判的情况。

02、意图提取与分析能力

AI大模型展现出了强大的意图提取和分析能力，能够辅助鉴别邮件是否有诱导用户执行某些动作的意图，如打开附件或访问链接等。这个能力也可以帮助我们去鉴别这封邮件是否是钓鱼邮件的特征点去考虑。

03、多语言能力

CACTER AI实验室在进行实验时发现，即便训练样本中没有特定小语种的钓鱼样本，AI大模型仍能在测试集中识别出某些小语种的钓鱼邮件，显示出其跨语言的检测潜力。AI大模型的辅助能够帮助CACTER AI实验室识别和捕获企图利用小语种绕过检测引擎的钓鱼邮件。

APT攻击检测与多模态大模型的潜力

APT（高级持续性威胁）攻击通常具有高度的隐蔽性和针对性，AI大模型在APT攻击检测上的应用展现了新的潜力：

01、结合大模型和沙箱产品

为了减少AI大模型的误判情况，提高检测的准确度，CACTER AI实验室提出了一种互补的方法。将大语言模型与沙箱产品相结合，把有可疑意图的陌生发信人邮件的附件发往沙箱做深度检查，来应对APT攻击，实现“1+1＞2”的更全面的安全防护效果。

这种策略旨在通过两个系统的协同作用，实现超越单一系统的效果，从而更有效地提升对恶意邮件的识别能力，减少误判，并增强对APT攻击的防御。

02、多模态大模型的探索

相比于文本大模型，多模态大模型能够提供更加丰富的信息数据源，如文本、图像、音频数据等，以此来支撑钓鱼检测的进行。多模态大模型还可以对各种类型的信息进行综合运算，进行跨模态关联分析。

CACTER AI实验室会利用多模态大模型检测已知的钓鱼邮件。多模态大模型不仅基于文本理解能力，还能模拟视觉分析，处理图片和链接落地页等多媒体内容。通过分析邮件中的文本内容、图片以及链接指向的网页外观，模型能够做出初步判断，识别邮件的真实意图。

通过多模态大模型分析，不仅可以提升了对钓鱼邮件的识别率，还增强了产品对新型攻击手段的适应性和迭代能力。

攻击与防守的对抗性训练

AI给邮件安全领域带来的影响必定是双面的。通过模拟攻击者的角度，防守方能够更好地提升防御策略。攻击者也可以利用大模型以多种方式迭代其攻击手段，尝试绕过我们的防御系统。

01、攻击方的应用

攻击者可能会通过三个层次应用大模型：

• 初阶应用：利用历史攻击样本，批量生成新攻击邮件，减少人工操作。

• 中阶应用：发现防御产品的弱点，自动更新攻击邮件模板。

• 高阶应用：利用大模型的学习能力，深入了解防御手段，生成更难识别的攻击邮件，迭代绕过检测引擎。

02、防守方的应用

作为防守方，我们可以利用AI大模型进行对抗训练和特征挖掘等策略进行防御。

• 对抗训练：利用大模型进行对抗性训练，提升反垃圾系统的性能。

• 特征挖掘：通过大模型分析新攻击样本，快速更新检测逻辑，以适应新型攻击。

AI大模型在邮件反钓鱼检测中的应用仍处于探索阶段，但其展现出的潜力令人鼓舞。随着技术的进一步发展和优化，AI大模型有望在邮件安全领域发挥更加重要的作用，成为邮件安全防护中不可或缺的一部分。

CACTER AI实验室将继续探索和应用AI大模型，更新迭代新型恶意邮件的检测能力，保持反垃圾品质稳步提升，保护用户的邮件安全。