谷歌起诉中国犯罪团伙:涉嫌利用Gemini AI实施大规模网络钓鱼欺诈
作者 Mag-Info Tech editorial · 2026-06-14
谷歌近日在纽约联邦法院提起诉讼,指控一个名为"外部企业"(Outsider Enterprise)的中国犯罪团伙涉嫌滥用其Gemini AI大规模生成钓鱼网站和诈骗短信,目标直指美国用户的金融账户。根据起诉书,该团伙自2023年7月至今,通过AI自动化工具生成了超过8000个钓鱼网站,并发送了约250万条诈骗短信,导致约387万张信用卡号码被盗取,累计损失近19亿美元。这一案件不仅凸显了AI技术在网络犯罪中的滥用风险,也为企业和用户敲响了警钟:AI工具一旦落入不法分子手中,其效率和隐蔽性将成倍放大犯罪危害。
犯罪团伙如何利用Gemini AI实施诈骗
起诉书显示,该犯罪团伙主要通过两种方式利用Gemini AI:一是自动生成钓鱼网站的代码和模板,二是批量生成诈骗短信内容。具体而言,犯罪分子使用Gemini AI来编写网站前端代码、设计登录页面模板,并针对不同金融机构(如银行、加密货币交易所)定制仿冒页面。这些网站通常模仿电信运营商、银行或加密货币平台的官方登录界面,诱使用户输入账户和密码。同时,AI生成的诈骗短信内容高度个性化,能够根据用户的语言习惯、地域特点甚至过往交易记录进行精准伪装,大幅提升了欺骗成功率。
犯罪团伙的运作模式呈现高度组织化和技术化特征。根据法庭文件,该团伙不仅利用Gemini AI生成钓鱼网站,还部署了自动化工具来管理域名注册、服务器租用和短信发送。这意味着,犯罪分子能够在极短时间内建立起成百上千个钓鱼站点,并通过短信或社交媒体渠道快速传播。此外,起诉书还提到,该团伙在实施诈骗时采用了多层跳转技术,通过合法网站的中转页面将用户引导至钓鱼网站,进一步降低了用户的警惕性。
被盗信用卡数量与损失规模惊人
根据联邦调查局(FBI)的估计,该犯罪团伙自2023年7月以来共窃取了约387万张信用卡号码,并导致美国用户累计损失近19亿美元。这些损失主要来自两部分:一是直接的资金盗用,包括通过钓鱼网站获取的银行账户和支付凭证;二是间接损失,如信用卡被用于非法消费、账户被清空等。此外,起诉书还指出,该团伙的钓鱼网站不仅针对银行账户,还大量针对加密货币投资者,通过伪造交易所登录页面或钱包应用,诱骗用户输入私钥或助记词,进一步扩大了受害范围。
值得关注的是,谷歌在起诉中提到,仅在2026年5月底至6月初的两周内,其Google Messages应用就收到了约5.5万份涉嫌诈骗的举报。这些举报大多与该犯罪团伙的活动相关,表明其诈骗活动的规模和频率仍在持续上升。从技术角度看,犯罪分子之所以能在短时间内实现如此大规模的诈骗,主要得益于AI工具的自动化和批量化能力。这意味着,未来类似的犯罪活动可能会变得更加频繁和难以追踪。
谷歌的法律行动与AI治理困境
此次诉讼是谷歌首次针对特定犯罪团伙滥用其AI产品提起法律诉讼,具有重要的标杆意义。谷歌在起诉书中明确表示,此次法律行动旨在永久性地摧毁该犯罪团体的基础设施,并阻止其继续利用Gemini AI进行诈骗活动。然而,这一诉讼也暴露出AI治理面临的严峻挑战。一方面,AI工具的开放性和易用性使得犯罪分子能够快速获取和部署高级技术;另一方面,现有的监管框架和技术手段尚无法有效防范AI滥用的风险。
从法律层面看,谷歌此次诉讼可能面临多重障碍。首先,犯罪团伙的背景和地理位置增加了执法难度,因为中国司法管辖权与美国存在差异,跨境执法合作可能受阻。其次,AI工具的滥用责任归属尚不明确,谷歌是否需要对用户滥用其产品承担法律责任,目前仍是一个有争议的问题。此外,诉讼过程可能需要大量技术证据和专家证词,以证明Gemini AI被犯罪团伙直接用于诈骗活动,这在技术上具有相当难度。
AI滥用风险:从钓鱼到深度伪造
此次事件并非孤例,而是AI滥用风险日益凸显的一个缩影。近年来,AI技术在网络犯罪中的应用呈现多样化趋势,从传统的钓鱼邮件扩展到深度伪造(deepfake)音视频、自动化社交工程攻击等。例如,犯罪分子已开始利用AI生成的语音或视频来冒充企业高管,诱骗员工转账或泄露机密信息。此外,AI驱动的聊天机器人也被用于欺骗用户提供个人信息或支付凭证,其对话逻辑和情感模仿能力使得诈骗内容更加难以识别。
MEFAI的AI带来真实成果。专业版立减50美元。
赞助内容 · 过往表现不代表未来结果。非财务建议。
对企业而言,AI滥用风险不仅限于外部犯罪团伙,内部员工的误用或故意滥用同样需要警惕。例如,员工可能利用AI工具生成虚假文档或合同,从事内幕交易或商业欺诈。因此,建立AI使用监控机制、加强员工培训和合规审查,已成为企业AI治理的重要组成部分。从用户角度看,随着AI生成内容的真实性不断提升,传统的"看到即相信"的认知已不再可靠。用户需要培养对异常链接、陌生请求的警惕性,并主动验证信息来源。
平台责任与技术防护:谁来阻断AI犯罪链条
此次诉讼将平台责任问题再次推上风口浪尖。作为AI工具的提供者,谷歌是否应对用户滥用其产品承担更多责任?目前,各国监管机构对AI平台责任的界定仍处于探索阶段。在欧盟,《人工智能法案》提出了风险分级监管框架,要求高风险AI系统的提供者承担更严格的义务,包括风险评估、透明度披露和人工监督。在美国,虽然尚未出台专门的AI监管法律,但《网络安全法》和《消费者保护法》等现有法规可能被用于追究平台责任。
从技术防护角度看,AI平台可以通过多种手段降低滥用风险。例如,谷歌可以在Gemini AI的输出层增加内容审核机制,对生成钓鱼网站、诈骗文本等违法内容进行拦截。同时,平台可以限制AI工具的批量生成能力,例如对单次请求生成的内容数量进行限制,或要求用户提供合法用途声明。此外,加强与网络安全公司、执法机构的合作,共享AI滥用模式的情报,也有助于提升整体防护水平。
监管与行业自律:构建AI安全生态
除了平台责任,行业自律和监管协作同样重要。近年来,多个国家和地区的监管机构已开始关注AI滥用风险,并推出相关指导原则。例如,美国国家标准与技术研究院(NIST)发布了《AI风险管理框架》,旨在帮助企业识别和缓解AI系统的潜在风险。欧盟则通过《通用数据保护条例》(GDPR)等法规,要求企业对AI系统的决策过程进行解释和透明化。
行业自律方面,一些科技公司已开始建立AI伦理委员会或安全审查机制,以评估新产品的潜在风险。例如,微软和Meta等公司均设有专门的AI治理团队,负责审查AI系统的安全性和合规性。然而,行业自律仍面临缺乏统一标准、执行力不足等挑战。因此,监管机构与行业组织需要加强合作,制定更加明确和可操作的AI安全标准,确保技术发展与风险防控同步推进。
未来趋势与用户建议:如何应对AI犯罪新威胁
展望未来,AI滥用风险预计将持续上升。随着大语言模型(LLM)和生成式AI技术的进一步成熟,犯罪分子将能够以更低成本、更高效率地实施诈骗活动。例如,AI生成的个性化钓鱼邮件或短信将更加难以被检测,而深度伪造技术的普及也将使得身份欺诈变得更加复杂。此外,AI驱动的自动化攻击工具可能进一步降低犯罪门槛,使得非专业犯罪分子也能参与其中。
对于普通用户而言,提升AI安全意识已成为必修课。具体建议包括:一是对任何涉及账户登录、支付或敏感信息的链接保持高度警惕,优先通过官方渠道验证其真实性;二是定期检查账户活动记录,及时发现异常交易或登录行为;三是使用多因素认证(MFA)等安全工具,降低账户被盗风险;四是关注官方发布的网络安全提醒,及时更新防护措施。对于企业用户,建议建立内部AI使用政策,明确员工在使用AI工具时的合规要求,并定期开展安全培训。
结语:技术进步与风险防控的平衡
谷歌起诉中国犯罪团伙滥用Gemini AI实施网络钓鱼的案件,为我们敲响了AI治理的警钟。技术进步带来的便利与效率提升,必须与风险防控机制同步发展,否则AI工具将沦为犯罪分子的新型武器。从法律诉讼到技术防护,从监管框架到用户教育,构建一个安全、可信的AI生态需要多方协作与持续努力。未来,随着AI技术的不断演进,我们需要在创新与安全之间找到平衡,确保技术发展的红利惠及每一个人,而非被少数犯罪分子所利用。
更多相关内容 网络安全与隐私
前员工恶意攻击校区系统被判21个月 网络安全内部威胁敲响警钟
前IT员工因长达21个月的恶意网络攻击被判21个月监禁,其通过保留权限持续破坏校区系统,导致教学中断与经济损失,敲响内部网络安全威胁警钟。
美国政府要求Anthropic下架Claude Fable与Mythos模型:合规风暴与行业警示
美国政府以国家安全为由要求Anthropic立即下架Claude Fable 5与Mythos 5,涉及监管权限争议与行业合规困境,引发AI安全与出口管制新争议。
缅因州暂时关闭数据泄露通报门户,因虚假泄露事件扰乱公共记录
缅因州暂时关闭面向公众的数据泄露通报门户,因有人提交虚假泄露声明并公开,现正审查流程以防类似滥用。相关企业可继续提交通报,但公众需改向检察长办公室索取。