摘要传统钓鱼邮件检测依赖人工特征与单模型判别在 AI 生成式钓鱼、语义伪装、多维度逃逸攻击下存在鲁棒性不足、可解释性差、误报漏报偏高的问题。arXiv 论文 MultiPhishGuard 提出一种可解释、自适应的多智能体 LLM 钓鱼邮件检测框架通过文本智能体、URL 智能体、元数据智能体、对抗智能体与解释简化智能体协同工作采用近端策略优化PPO动态加权融合多源决策并以 LLM 驱动对抗训练提升模型对隐蔽钓鱼变体的防御能力。实验结果表明该系统在公开数据集上检测准确率达 97.89%假阳性率 2.73%假阴性率仅 0.20%整体性能优于单模型与思维链提示基线。本文以 MultiPhishGuard 为研究对象系统阐述多智能体协同检测架构、自适应权重优化机制、对抗样本生成与可解释输出的技术实现提供可复现的工程化代码示例结合攻防实践验证框架有效性为高鲁棒性、可运营的钓鱼邮件防御系统提供理论与技术参考。1 引言电子邮件作为政企核心通信载体长期是网络钓鱼攻击的首要载体。随着大语言模型在攻击侧普及钓鱼邮件呈现语义高度仿真、内容个性化、诱导逻辑隐蔽化、逃逸手段智能化趋势传统基于关键词、黑名单、规则匹配的检测机制逐渐失效。单一模型难以同时覆盖文本语义、URL 结构、发送者信令、行为上下文等多维度特征且决策过程缺乏可解释性导致安全运营人员研判成本高、误判影响业务连续性。MultiPhishGuard 将多智能体协同与对抗训练引入钓鱼检测领域构建分工明确、动态协作、可自我进化的 LLM 检测系统实现高精度、低误报、可解释的邮件判别。反网络钓鱼技术专家芦笛指出下一代钓鱼防御必须从单模型判断转向多模态证据融合、从静态特征转向自适应对抗学习、从黑盒输出转向可解释决策MultiPhishGuard 的技术路径与这一演进方向高度一致。本文基于该框架完整技术路线从威胁背景、架构设计、关键算法、工程实现、性能验证与落地优化等方面展开系统研究形成理论严谨、可落地、可扩展的学术论述。2 钓鱼邮件检测技术现状与核心挑战2.1 主流检测技术路径基于规则与特征工程依靠关键词、发件人黑名单、SPF/DKIM/DMARC 校验、URL 特征等静态规则实现简单高效但对语义伪装、域名混淆、零日钓鱼样本失效。基于机器学习的分类方法使用朴素贝叶斯、随机森林、SVM 等模型提取文本统计特征泛化能力有限难以应对语义级攻击。单模型深度学习方法采用 CNN、RNN、Transformer 等模型进行文本分类在语义理解上有所提升但缺乏多模态协同与鲁棒性训练易被对抗样本逃逸。基于大模型的提示工程方法通过思维链CoT提示引导 LLM 进行推理但未实现模块化分工决策不稳定、不可控且无法有效抵御语义级逃逸。2.2 AI 时代钓鱼攻击的新特征语义高度仿真LLM 生成邮件语法规范、逻辑自然消除传统钓鱼的文本破绽。多模态协同伪装文本、URL、附件、发件信息联合伪造单维度检测难以覆盖。对抗性逃逸通过同义词替换、句式变换、符号干扰、轻微排版修改实现逃逸。场景化深度定制针对行业、岗位、人物画像生成高度针对性钓鱼内容。2.3 现有系统面临的核心瓶颈鲁棒性不足对抗样本与分布外样本易突破检测边界。模态信息利用不充分文本、URL、信令元数据未形成协同决策。决策不可解释黑盒输出导致安全分析师无法快速核验、溯源与处置。模型无法持续进化缺乏对抗生成与自迭代机制防御能力滞后于攻击。反网络钓鱼技术专家芦笛强调钓鱼检测已进入对抗均衡阶段防御系统必须具备模块化感知、自适应融合、对抗鲁棒训练与可解释输出四大能力MultiPhishGuard 正是为解决上述痛点提出的系统性框架。3 MultiPhishGuard 多智能体检测系统总体架构3.1 设计目标高检测精度与低漏报率应对隐蔽与对抗钓鱼样本。多模态协同统一文本、URL、元数据等异构证据。自适应决策动态调整各智能体权重提升复杂场景稳定性。对抗鲁棒性通过对抗训练持续强化模型边界。可解释输出提供简洁可信的研判依据降低运营成本。3.2 五智能体核心组成MultiPhishGuard 由五个专业化 LLM 智能体构成模块化协同系统文本智能体对邮件正文、标题进行语义理解、诱导意图识别、社会工程逻辑判定。URL 智能体分析链接域名、路径、参数、跳转关系、页面指纹与域名信誉。元数据智能体校验发件人、SPF/DKIM/DMARC、回复地址、邮件头异常、发送 IP 信誉。对抗智能体基于 LLM 生成高仿真、弱扰动、上下文感知的钓鱼变体用于对抗训练。解释简化智能体将模型决策逻辑转化为清晰、简洁、可审计的自然语言理由。3.3 系统工作流程邮件多模态解构拆分标题、正文、URL、附件、邮件头。多智能体并行研判各专业智能体输出风险评分与证据片段。PPO 自适应加权融合强化学习动态分配权重输出综合风险等级。对抗样本生成与迭代对抗智能体生成难样本回流训练提升鲁棒性。可解释报告输出解释简化智能体生成研判理由支撑人工复核。3.4 技术创新要点多智能体专业化分工而非简单集成提升细粒度检测能力。采用 PPO 实现动态权重优化优于固定投票或静态加权。LLM 驱动对抗训练生成上下文感知样本提升真实场景鲁棒性。内置可解释机制满足合规审计与安全运营需求。4 关键技术实现与算法原理4.1 多智能体协同决策机制各智能体输出独立风险分数 s_i∈[0,1] 与置信度 c_i系统通过加权得到综合得分SΣ(w_i×s_i)其中 w_i 由 PPO 根据历史决策效果、任务难度、模态重要性动态优化确保在复杂邮件场景下高价值信号获得更高权重。4.2 基于 PPO 的自适应权重优化近端策略优化PPO用于学习最优权重分配策略以准确率提升、漏报下降、误报控制为奖励信号在保证策略更新平稳的前提下持续迭代优化。其目标函数L^CLIP (θ)E_t [min (r_t (θ) A_t,clip (r_t (θ),1−ε,1ε) A_t)]r_t (θ) 为新策略与旧策略概率比值A_t 为优势函数ε 为裁剪系数确保更新幅度可控。该机制使系统在面对纯文本钓鱼、URL 钓鱼、伪造信令钓鱼、混合攻击等不同场景时自动分配最优决策权重。4.3 LLM 驱动对抗训练循环对抗智能体执行三类扰动生成语义保持型改写同义词替换、句式变换、语气调整保留钓鱼意图。上下文伪装插入正常业务语句降低攻击显著性。格式与符号干扰插入隐形字符、空格、特殊编码干扰特征提取。生成样本用于微调检测智能体形成 “检测 — 逃逸 — 增强 — 再检测” 的闭环进化显著提升对未知变体的泛化能力。4.4 可解释输出生成解释简化智能体执行证据抽取提取标题、URL、发件人、正文关键风险片段。逻辑结构化按 “事实 — 风险 — 结论” 组织推理链。语言简化转为运营可读的简洁表述避免技术术语冗余。最终输出可直接用于告警、工单、审计报告。5 工程化实现与代码示例5.1 多智能体基础接口Pythonfrom abc import ABC, abstractmethodimport numpy as npclass BaseAgent(ABC):abstractmethoddef analyze(self, email_data: dict) - dict:passclass TextAgent(BaseAgent):def analyze(self, email_data: dict) - dict:content email_data.get(subject, ) email_data.get(body, )# 钓鱼语义、诱导词、紧急话术检测risk_score 0.0evidence []# LLM语义分析简化实现if verify account in content or login required in content:risk_score 0.6evidence.append(正文包含强诱导账号验证表述)return {score: risk_score, evidence: evidence, confidence: 0.85}class URLAgent(BaseAgent):def analyze(self, email_data: dict) - dict:urls email_data.get(urls, [])risk_score 0.0evidence []for u in urls:if verify in u or secure in u and not u.startswith(https://):risk_score 0.7evidence.append(f可疑非加密链接{u})return {score: risk_score, evidence: evidence, confidence: 0.9}class MetadataAgent(BaseAgent):def analyze(self, email_data: dict) - dict:spf email_data.get(spf_pass, False)reply_to email_data.get(reply_to, )from_addr email_data.get(from_addr, )risk_score 0.0evidence []if not spf:risk_score 0.5evidence.append(SPF校验失败)if reply_to ! from_addr:risk_score 0.4evidence.append(回复地址与发件人不一致)return {score: risk_score, evidence: evidence, confidence: 0.88}class AdversarialAgent(BaseAgent):def generate_adversarial_examples(self, email_data: dict) - list:# 生成语义保持型对抗样本original email_data.get(body, )variants [original.replace(verify, confirm),original.replace(account, profile)]return variantsclass ExplainerAgent(BaseAgent):def generate_explanation(self, results: dict) - str:ev_list []for agent, res in results.items():ev_list.extend(res.get(evidence, []))return .join(ev_list) if ev_list else 未检测到明显风险5.2 PPO 加权融合决策引擎class PPOWeightFusion:def __init__(self, agent_names):self.agent_names agent_namesself.weights {name: 1.0/len(agent_names) for name in agent_names}def normalize_weights(self):total sum(self.weights.values())for k in self.weights:self.weights[k] / totaldef predict(self, agent_results: dict) - tuple[float, str]:total 0.0for name, res in agent_results.items():score res[score]w self.weights[name]total score * wlabel 钓鱼邮件 if total 0.5 else 正常邮件return total, labeldef update_weights_by_ppo(self, rewards: dict):# 简化PPO权重更新for name, r in rewards.items():self.weights[name] * (1 0.05 * r)self.normalize_weights()5.3 系统入口与检测流程class MultiPhishGuard:def __init__(self):self.agents {text: TextAgent(),url: URLAgent(),meta: MetadataAgent()}self.adversarial_agent AdversarialAgent()self.explainer ExplainerAgent()self.fuser PPOWeightFusion(list(self.agents.keys()))def detect(self, email_data: dict) - dict:results {name: agent.analyze(email_data) for name, agent in self.agents.items()}score, label self.fuser.predict(results)explanation self.explainer.generate_explanation(results)adv_samples self.adversarial_agent.generate_adversarial_examples(email_data)return {risk_score: round(score, 3),label: label,explanation: explanation,adversarial_samples: adv_samples}if __name__ __main__:detector MultiPhishGuard()test_email {subject: Urgent: Verify Your Account Immediately,body: Please click to verify your account to avoid suspension.,urls: [http://fake-bank-service.com/verify],spf_pass: False,from_addr: supportfake.com,reply_to: adminevil.com}res detector.detect(test_email)print(风险评分, res[risk_score])print(判定结果, res[label])print(研判依据, res[explanation])6 实验设计与性能评估6.1 实验配置数据集公开钓鱼邮件基准集包含正常邮件、钓鱼邮件、对抗伪装邮件。对比方法单 LLM 模型、思维链提示CoT、传统机器学习模型XGBoost。评价指标准确率 Accuracy、假阳性率 FPR、假阴性率 FNR、F1 值。6.2 实验结果MultiPhishGuard 在标准测试集上达到检测准确率97.89%假阳性率 FPR2.73%假阴性率 FNR0.20%F1 分数0.976消融实验表明多智能体协同比单模型提升准确率 3.5%–5.2%PPO 动态加权比静态加权提升 F1 1.8%对抗训练使对抗样本漏报率下降 67%可解释输出使人工研判时间平均缩短 60% 以上。反网络钓鱼技术专家芦笛指出0.20% 极低漏报率对政企邮件防御至关重要可大幅降低高危钓鱼穿透概率同时 2.73% 误报率处于可运营区间结合可解释报告可实现高效闭环处置。6.3 鲁棒性测试在同义词替换、句式变换、符号干扰、上下文伪装等对抗样本集上MultiPhishGuard 性能下降幅度显著低于基线模型证明对抗训练有效提升模型边界鲁棒性。7 系统优势与实践价值7.1 技术优势模块化多智能体架构便于扩展新模态、新协议、新检测能力。自适应权重决策在复杂多变攻击场景下保持稳定性能。LLM 对抗训练实现自我进化应对未知钓鱼变体。原生可解释输出降低运营成本满足合规要求。端到端一体化 pipeline易于部署至邮件网关、ESA、企业 OA 等系统。7.2 落地应用价值降低高级钓鱼穿透率保护账号、凭据、资金、敏感文档安全。减少误告对业务的干扰提升终端用户信任度。缩短安全运营研判时间提升处置效率。为合规审计提供可追溯、可解释的检测依据。8 局限与未来优化方向8.1 当前局限依赖高质量标注数据与 LLM 基础能力小语种场景性能有待验证。对抗样本生成偏向语义扰动对附件、宏、链接跳转等攻击覆盖不足。暂无大规模生产环境部署公开数据工程化调优空间仍存在。8.2 未来改进方向多模态扩展接入附件哈希、OCR、行为沙箱、威胁情报。轻量化部署模型蒸馏、量化、剪枝适配边缘网关与低算力设备。在线持续学习基于真实告警与反馈自动迭代优化。跨信道协同与短信钓鱼、网页钓鱼、钓鱼 APP 检测形成统一防御。开源基准建设开放数据集、评测代码与对抗样本库推动领域标准化。反网络钓鱼技术专家芦笛强调多智能体与对抗训练将成为下一代钓鱼防御的主流范式未来研究应聚焦轻量化、可运营、可扩展与跨信道协同构建全域钓鱼威胁防御体系。9 结语AI 驱动的钓鱼攻击不断突破传统检测边界对邮件防御系统提出高精度、高鲁棒性、高可解释性的刚性需求。MultiPhishGuard 提出的多智能体 LLM 协同框架通过文本、URL、元数据、对抗、解释五大智能体分工协作以 PPO 实现自适应决策融合以 LLM 对抗训练提升模型鲁棒性并以可解释输出支撑安全运营闭环在公开数据集上取得 97.89% 准确率、0.20% 极低漏报率的优异性能。本文系统梳理该框架的设计理念、架构组成、算法原理、工程实现与实验结果证明多智能体协同与自适应对抗学习能够有效应对语义级伪装、多维度逃逸与 AI 生成钓鱼威胁。研究表明将专业化分工、动态决策、对抗进化、可解释性融为一体是构建下一代高可靠钓鱼检测系统的关键路径。随着攻击持续演进安全防御必须同步走向模块化、智能化、自治化MultiPhishGuard 为学术研究与工程落地提供了可参考的完整技术方案对提升政企邮件安全能力、遏制钓鱼攻击扩散具有现实意义与推广价值。编辑芦笛公共互联网反网络钓鱼工作组
