在伦敦金融城一家跨国银行的呼叫中心，客服代表Sarah接到一通紧急来电。电话那头的声音沉稳、略带沙哑——正是她熟悉的首席财务官Mark Thompson的嗓音。“我正在开一个闭门会议，手机快没电了，”对方语速略快但语气镇定，“立刻把一笔230万欧元的供应商付款转到新账户，详情邮件已发你内网邮箱。这事高度敏感，别走常规审批流程。”

Sarah犹豫了一秒——公司刚更新过反诈培训，强调“越级指令需二次确认”。但对方声音太像了，连Mark惯用的停顿节奏和轻微咳嗽声都一模一样。她最终点击了转账确认。

三小时后，资金已被层层洗白。而真正的Mark Thompson正在日内瓦出差，对这通“自己打的电话”毫不知情。

这不是科幻电影桥段，而是2025年第四季度真实发生在欧洲的一起AI驱动的语音钓鱼（Voice Phishing，简称Vishing）案件。随着生成式语音合成技术的爆炸式普及，这类“以假乱真”的声音诈骗正从实验室走向街头巷尾，对全球金融、政务与企业安全构成前所未有的挑战。

一、从“机械腔”到“声纹复刻”：Vishing的技术跃迁

曾几何时，诈骗电话中的合成语音还带着明显的电子感——语调平直、情感缺失、辅音模糊。但这一切在2023年后彻底改变。

开源模型如 Coqui TTS、YourTTS 和 VITS 的发布，以及商业API如 ElevenLabs、Play.ht 的成熟，让普通人仅凭一段30秒的音频样本，就能在消费级GPU上训练出高度拟真的语音克隆模型。更令人担忧的是，这些工具大多支持“零样本”（zero-shot）或“少样本”（few-shot）合成——即无需目标本人参与训练，仅通过公开演讲、播客或社交媒体视频即可提取声学特征。

“现在的AI语音，不仅能模仿音色，还能复现语速、重音、呼吸节奏甚至口音细节，”公共互联网反网络钓鱼工作组技术专家芦笛指出，“对普通用户而言，肉耳几乎无法分辨真假。”

技术内核上，现代语音合成已从传统的拼接合成（Concatenative Synthesis）和参数合成（Parametric Synthesis），全面转向基于深度学习的端到端模型。以 VITS（Variational Inference with adversarial learning for end-to-end Text-to-Speech） 为例，它结合了变分自编码器（VAE）、归一化流（Normalizing Flows）和对抗训练（GAN），能同时建模文本-语音对齐、韵律控制和声学细节。

以下是一个简化版的VITS推理代码示例（基于PyTorch）：

import torch

from vits.models import SynthesizerTrn

from vits.utils import load_checkpoint, get_hparams_from_file

# 加载预训练模型与配置

hps = get_hparams_from_file("configs/vits_config.json")

net_g = SynthesizerTrn(

len(symbols),

hps.data.filter_length // 2 + 1,

hps.train.segment_size // hps.data.hop_length,

**hps.model

).cuda()

_ = net_g.eval()

_ = load_checkpoint("models/pretrained_vits.pth", net_g, None)

# 输入文本与目标说话人ID（或嵌入向量）

text = "请立即批准这笔转账，情况紧急。"

sid = torch.LongTensor([target_speaker_id]).cuda()

# 生成语音波形

with torch.no_grad():

x_tst = text_to_sequence(text, symbols)

x_tst = torch.LongTensor(x_tst).unsqueeze(0).cuda()

audio = net_g.infer(x_tst, sid=sid, noise_scale=0.667, length_scale=1)[0][0,0].data.cpu().float().numpy()

这段代码展示了如何用一个预训练的VITS模型，指定目标说话人ID，生成极具欺骗性的语音。攻击者只需将target_speaker_id替换为从公开数据中提取的声纹嵌入（speaker embedding），即可“冒名发声”。

二、全球案例频发：从CEO诈骗到社保冒领

AI语音钓鱼的威胁早已跨越国界。2024年，美国联邦调查局（FBI）报告称，涉及AI语音克隆的商业邮件欺诈（BEC）案件同比增长320%。其中一起典型案例中，某能源公司CFO接到“CEO”电话，要求紧急支付一笔“并购定金”，结果损失480万美元。

在亚洲，日本警方于2025年破获一起利用AI模仿祖母声音诱骗孙辈转账的案件。诈骗者通过分析YouTube上的家庭vlog，提取老人声纹，再结合社工信息精准施骗。

而在中东，阿联酋央行警告称，多起针对外籍劳工的“移民局通知”诈骗使用AI合成阿拉伯语方言语音，诱导受害者提供银行卡号和OTP（一次性验证码）。

这些案例的共同点在于：攻击者不再依赖“广撒网”，而是实施高精度定向打击。他们通常分三步走：

情报收集：通过数据泄露（如LinkedIn、微博、微信公众号）、公开演讲、企业官网视频等渠道获取目标声音样本；

语音克隆与脚本设计：利用开源工具生成逼真语音，并编写符合目标身份的话术（如“系统升级需验证”“账户异常需冻结”）；

多通道协同欺骗：配合伪造来电显示（Caller ID Spoofing）、钓鱼短信或邮件，制造“官方可信”假象。

“最危险的是，攻击者开始绕过传统KBA（Knowledge-Based Authentication，基于知识的身份验证），”芦笛解释道，“比如问‘你母亲的 maiden name 是什么？’——这类问题的答案早已在社交媒体上公开。而如果对方用你老板的声音说‘别问那么多，按我说的做’，心理防线很容易崩溃。”

三、KBA与语音OTP：正在失效的安全支柱

长期以来，银行和企业依赖两类语音渠道进行身份核验：

静态KBA：如生日、身份证后四位、上月交易金额；

动态语音OTP：系统自动拨打用户电话，播报一串数字验证码。

但在AI时代，这两类机制均显脆弱。

首先，静态KBA的答案极易被社工手段获取。剑桥大学2025年一项研究显示，普通用户在社交媒体上平均暴露7.3个可用于KBA的问题答案。

其次，语音OTP虽看似“动态”，却存在致命漏洞：它假设“接听电话的人就是账户持有人”。然而，攻击者可通过“SIM交换攻击”（SIM Swap）或“呼叫转移”劫持电话线路；更狡猾的做法是，在诱导用户接听诈骗电话的同时，触发银行的OTP外呼——用户误以为是“正常业务”，将听到的验证码告知“客服”。

“我们监测到多起案例中，攻击者在通话中说：‘为了确保安全，请重复您刚收到的六位数验证码。’”芦笛透露，“用户以为是在配合验证，实则亲手交出了钥匙。”

更讽刺的是，部分金融机构仍允许通过电话更改收款账户或提升转账额度——这为AI语音钓鱼提供了“合法出口”。

四、技术反制：从被动检测到主动防御

面对新型Vishing，安全社区正在构建多层次防御体系。核心思路是：不再信任“声音即身份”。

（1）被动语音生物识别（Passive Voice Biometrics）

与传统“主动验证”（如让用户朗读随机数字）不同，被动生物识别在用户正常通话中持续分析声纹特征，无需额外操作。其技术栈包括：

声纹嵌入提取：使用x-vector、d-vector或ECAPA-TDNN模型生成说话人唯一向量；

活体检测（Liveness Detection）：判断语音是否来自真实人类，而非录音或合成。

例如，基于 ResNet-based anti-spoofing model 的检测代码片段：

import torchaudio

from speechbrain.lobes.models.Spoofing.AASIST import AASIST

# 加载反欺骗模型

anti_spoof_model = AASIST.from_hparams(source="speechbrain/spoof-detection-aasist")

# 读取语音文件

signal, fs = torchaudio.load("call_recording.wav")

if fs != 16000:

signal = torchaudio.transforms.Resample(fs, 16000)(signal)

# 判断是否为合成/重放语音

score = anti_spoof_model(signal)

is_spoof = score > 0.5 # 阈值可调

该模型能有效识别AI合成语音中的频谱不连续性、相位异常等“数字指纹”。

（2）多因素强认证（MFA）重构

工作组建议：高风险操作必须脱离语音通道。具体措施包括：

禁用语音渠道下发OTP，改用推送通知（如Authy、Google Authenticator）或FIDO2安全密钥；

关键指令（如大额转账、账户变更）需通过独立信道复核——例如，电话指令后，系统自动发送加密邮件至注册邮箱，要求点击确认链接；

建立“回拨白名单”：若用户声称是高管，系统应挂断后主动回拨其登记的办公座机，而非当前来电号码。

（3）行为与上下文分析

AI不仅能用于攻击，也能用于防御。通过分析通话中的语言模式、请求合理性、时间敏感性等上下文，可识别异常行为。例如：

正常CFO不会在深夜要求转账；

“保密”“紧急”“不要告诉IT部门”等关键词高频出现，往往是社工信号；

转账账户与历史供应商无关联。

“我们正在推动企业部署‘决策延迟机制’，”芦笛说，“对于非常规请求，系统自动触发2小时冷静期，并通知风控团队人工介入。”

五、国内启示：警惕“声音信任”的惯性思维

尽管上述案例多发生于海外，但中国并非安全孤岛。随着国产大模型（如科大讯飞星火、阿里通义听悟）在语音合成领域的突破，相关技术门槛同样在降低。2025年，国内某券商内部测试显示，仅用客户经理30秒路演视频，即可生成足以骗过同事的语音。

更值得警惕的是，国内部分金融机构仍在推广“语音密码”“声纹登录”等服务，却未配套活体检测。一旦攻击者获取用户声音样本（如智能音箱录音、客服通话记录），风险极高。

“我们必须打破‘听到熟悉声音就信任’的心理惯性，”芦笛强调，“在AI时代，声音只是数据，不是身份凭证。”

工作组建议国内企业：

审查所有依赖语音的身份验证流程，逐步淘汰纯KBA；

在呼叫中心部署实时语音反欺诈系统；

对员工开展“AI语音钓鱼”专项演练，重点识别“越级指令+紧急施压”话术；

推动行业标准，明确禁止在高风险场景使用语音OTP。

六、未来战场：攻防进入“生成式对抗”阶段

可以预见，Vishing攻防将进入“生成式对抗”新阶段：攻击者用更先进的扩散模型（如AudioLDM）生成无瑕疵语音，防御方则用更精密的神经探测器（Neural Detector）识别合成痕迹。

但技术并非万能。正如芦笛所言：“最坚固的防火墙，是人的警觉性。”

在AI模糊真实与虚拟边界的今天，每一次接听陌生来电，都可能是一场无声的攻防战。而胜利的关键，或许不在于算法有多先进，而在于我们是否愿意多问一句：“你真是你吗？”

编辑：芦笛（公共互联网反网络钓鱼工作组）