美國打工人自信能識破釣魚郵件，實測后80%翻了車

80%的美國白領覺得自己能一眼看穿釣魚郵件，真測了一下，只有32%過關。這份來自Darktrace的調研數據，像一盆冷水澆在了企業安全培訓的頭上。

調研覆蓋了1000名美國辦公室員工和430名IT及安全決策者。結果呈現出一種荒誕的割裂：人們對自己的判斷力過于樂觀，而實戰表現卻慘不忍睹。這種認知偏差本身，就是攻擊者最趁手的武器。

AI讓釣魚郵件學會了"說人話"

幾年前的釣魚郵件還帶著鮮明的"異域口音"——拼寫錯誤、語法別扭、句式生硬。那時候，仔細讀一遍就能發現貓膩。攻擊者往往不是英語母語者，語言障礙成了天然的防火墻。

現在這套玩法徹底失效了。生成式人工智能（Generative AI，一種能自動創作文本的技術）接管了文案工作，釣魚郵件變得流暢、自然、甚至有點貼心。Darktrace的研究人員指出，去年已有38%的攻擊采用了"新型社會工程技術，很可能由AI賦能"。

攻擊者在進化，防御體系卻還在用老劇本。

傳統的安全培訓三板斧——識別拼寫錯誤、警惕陌生發件人、別點可疑鏈接——在AI生成的精密騙局面前，越來越像過期地圖。員工們帶著這份"過時攻略"走上戰場，自信滿滿地踩進坑里。

培訓失效的深層病灶

問題不只是技術迭代太快。調研揭示了一個更尷尬的現實：安全 awareness training（安全意識培訓）正在變成一種形式主義。

很多企業把培訓做成了年度打卡任務。員工們對著PPT坐滿兩小時，點擊"已完成"，然后繼續用生日當密碼。測試環節往往采用夸張的假郵件——"尼日利亞王子遺產"式的拙劣表演，員工輕松識破，培訓順利通過，雙方都獲得了虛假的安全感。

Darktrace的測試方法更刁鉆：用高度仿真的真實場景郵件，不設預警，不打招呼。結果暴露了真相——人們的實際防御能力，遠低于自我評估。

這種"達克效應"（Dunning-Kruger effect，一種認知偏差，能力欠缺者容易高估自己）在網絡安全領域尤其危險。越是不懂的人，越覺得自己懂；越是自信的人，越不會警惕。

企業還在買"安慰劑"

安全預算的流向也很說明問題。大量資金花在采購工具、搭建防火墻、部署端點保護上，但對"人"這個最脆弱的環節，投入卻停留在表面。

攻擊者早已摸清了這套邏輯。他們不再硬闖技術防線，而是直接找員工"借鑰匙"。釣魚郵件的本質是社會工程（Social Engineering，通過心理操控獲取信息或權限的手段），技術只是包裝。再堅固的城墻，守城的人開了門，也就形同虛設。

一些企業開始嘗試新的訓練方式：模擬真實攻擊、即時反饋、個性化學習路徑。但這類方案成本高、周期長，管理層往往缺乏耐心。他們更想要一個"培訓完成率100%"的報表，而不是真正降低風險。

調研中IT決策者的反饋也耐人尋味。他們中的多數人承認，現有培訓效果有限，但推動變革的動力不足。畢竟，安全事故沒發生的時候，安全投入看起來都是成本；發生了，又往往來不及。

這種集體性的短視，構成了另一種"系統性風險"。

個人能做什么

在技術對抗的層面，個人用戶并非完全被動。檢查發件人域名、懸停預覽鏈接、警惕 urgency（緊迫感）和威脅話術，這些老方法依然有效——只是需要更嚴格的執行。

關鍵在于打破"自動駕駛"狀態。大多數人處理郵件時處于半意識模式，肌肉記憶式地點擊、回復、轉發。釣魚攻擊正是利用這種認知松懈，在毫秒之間完成滲透。

一個值得培養的習慣：遇到任何要求點擊鏈接或提供信息的郵件，主動發起二次驗證。不通過郵件內的聯系方式，而是獨立查找官方渠道確認。這多花的兩分鐘，可能是避免災難的最小成本。

但把安全責任完全推給個人，本身就是企業的失職。調研數據已經證明，自我感覺良好≠真的安全。沒有系統性的訓練設計、沒有持續的實戰演練、沒有文化層面的重視，員工只是暴露在火力下的裸奔者。

Darktrace沒有公布那68%未能識別釣魚郵件的人，事后是否接受了針對性輔導。這個缺失的細節，或許比數據本身更能說明問題——測試不是為了羞辱，而是為了改進。如果測完即止，那和沒測一樣。