📰 重點摘要

谷歌於本週五宣布對一個名為「Outsider Enterprise」的中國網路犯罪組織提起訴訟,要求拆除其完整犯罪基礎設施。根據谷歌的指控,該組織在短短兩週內架設了 9,000 個假冒網站、申請逾百萬個詐騙域名,並向 Android 用戶發送了 250 萬則釣魚簡訊,其中光是五月份就有 5.5 萬則被用戶主動舉報,平均每分鐘超過兩件。

Outsider Enterprise 的核心是一套名為「Outsider」的釣魚即服務(PhaaS)軟體,售價為每週 88 美元或每月 200 美元,任何人不需具備技術背景即可操作。該平台借助包括 Google 自家 Gemini 在內的 AI 工具自動生成假網站,模仿電信商、金融機構、政府機關及零售商等品牌,誘導受害者輸入密碼、多重驗證碼與信用卡資料後,即時傳回給詐騙者。

自 2023 年 7 月至今,此平台已協助不法份子竊取估計 387 萬張信用卡,造成約 19 億美元損失,受害人數達「數十萬」。FBI 已配合谷歌及 Lumen 旗下 Black Lotus Labs 查扣多個涉案域名及 Shopify 店面帳號。谷歌方面表示,已部署 AI 反詐工具,每月攔截逾百億則詐騙訊息,並持續與 AT&T、T-Mobile、Verizon 及 FBI 協同合作。

💬 JudyAI Lab 觀點

Google起訴「Outsider Enterprise」最值得關注的,是AI工具已被犯罪者系統性武器化——兩週架設9,000個假網站,每分鐘超過兩件釣魚舉報,速度完全超出人工審查能力。

這個案例反映出AI builder群體必須正視的一條裂縫:Outsider的PhaaS平臺本身就藉助包括Gemini在內的AI自動生成假網站,讓沒有技術背景的人每週只需88美元就能發動大規模攻擊。AI大幅降低了攻擊門檻,同時也讓防禦方必須以更快的AI來應對。Google每月攔截逾百億則詐騙訊息,展示了規模化防禦的可能性。我們觀察到,當犯罪即服務開始整合生成式AI,「信任邊界」的設計優先序就必須高於功能迭代。

如果你正在開發任何涉及品牌呈現或使用者驗證的AI應用,現在值得先問一句:你的工具能否被用來複製自己?這不是假設——從這個案例來看,答案幾乎已是肯定的。

📅 原文資訊

🔗 延伸閱讀