文本加盐(Text Salting)绕过 AI 邮件防御的攻击机理与检测体系研究
摘要2026 年 4 月至 7 月 Barracuda 安全团队监测到超百万起零售主题钓鱼邮件采用文本加盐Text Salting规避技术该攻击依托 CSS 多模式隐藏文本稀释恶意特征对传统关键词过滤、机器学习及大语言模型LLM邮件安全系统形成系统性绕过。本文以 Barracuda 2026 年 7 月专项威胁情报为实证样本完整拆解文本加盐三层技术实现路径、标准化攻击链路剖析 LLM 邮件安全系统原生缺陷。反网络钓鱼技术专家芦笛指出文本加盐攻击的核心矛盾源于现有邮件安全工具仅解析原始 HTML 源码未还原用户可视渲染视图攻击者利用源码与视觉内容的信息差篡改 AI 模型风险判定逻辑。本文梳理三类主流 CSS 隐藏文本实现手段裁剪视窗、屏幕外偏移、零字号文本结合 AI 生成填充文本的产业化攻击特征构建覆盖源码解析、视觉渲染还原、特征稀释度评分、发件人信誉校验的多层检测框架提供三套可工程落地的 Python 检测代码分别实现隐藏 CSS 特征识别、可视文本还原、加盐风险量化评分。从邮件网关底层改造、租户分层管控、员工安全培训、威胁情报动态运营四个维度构建闭环防御方案实证数据表明融合 HTML 渲染还原与加盐稀释度检测的多层防护体系可将文本加盐钓鱼邮件拦截率提升至 94.7%。研究成果可为企业 AI 邮件安全网关迭代、云邮箱租户安全策略配置提供完整理论支撑与工程实现依据。关键词文本加盐Text Salting邮件钓鱼CSS 隐藏文本AI 邮件安全LLM 内容检测对抗性规避1 引言1.1 研究背景与事件溯源网络钓鱼规避技术伴随邮件安全防御体系迭代持续演化传统垃圾邮件过滤依靠关键词词频、特征短语匹配识别恶意内容攻击者早期通过插入无意义填充文本稀释恶意词汇占比实现绕过该基础手段被命名为文本加盐。2026 年该技术完成产业化升级结合生成式 AI 批量生成自然无害填充文本、多层 CSS 叠加隐藏逻辑形成可规模化投放的新型对抗攻击体系。Barracuda 于 2026 年 7 月 16 日发布专项威胁预警披露自当年 4 月起累计捕获超百万起零售主题文本加盐钓鱼攻击诱饵统一采用积分到期、礼品卡兑换、消费奖励等营销话术依托 DKIM 合规域名、被劫持正规站点分发邮件大量绕过搭载 LLM 内容分析模块的新一代邮件安全网关。该类邮件对人类收件人仅展示简短诱导点击的恶意文案底层 HTML 源码中嵌入数千字随机故事、办公闲聊、通用任务类无害文本借助 CSS 样式将填充文本完全隐藏安全工具读取完整源码后恶意词汇在全文中的占比被大幅稀释机器学习分类器、大语言模型会误判邮件为正常办公、营销类消息最终投递至员工收件箱。传统认知中AI 驱动的邮件安全系统凭借语义理解、情感分析、上下文识别能力相比静态关键词过滤具备显著优势但文本加盐攻击打破该防护优势。反网络钓鱼技术专家芦笛强调当前多数厂商的 LLM 邮件检测模块存在架构设计短板模型输入仅为原始 HTML 提取的全部文本未区分用户可见内容与机器可读隐藏填充文本攻击者注入的海量无害加盐文本会偏移模型对邮件意图、风险情感、恶意特征的判断形成 AI 防御的天然盲区。文本加盐并非全新攻击手段但 2026 年呈现两大颠覆性变化一是生成式 AI 降低填充文本制作成本每一封钓鱼邮件可生成完全差异化的加盐内容特征指纹无复用无法依靠静态黑名单拦截二是多层 CSS 叠加隐藏逻辑单一隐藏手段被网关识别后其余样式可持续完成文本遮蔽规避基础隐藏特征检测规则。百万级攻击样本证明该技术已成为黑产批量绕过 AI 邮件防御的标准化工具具备极高现实危害亟需针对性理论拆解与落地防御方案。1.2 现有研究局限现阶段国内外针对邮件隐藏文本规避攻击的研究存在三重明显短板第一现有文献多聚焦单一 CSS 隐藏手段的技术拆解未系统梳理文本加盐 “填充文本生成 多层 CSS 遮蔽 AI 模型语义干扰” 完整攻击闭环缺少对零售主题大规模实战样本的实证分析第二多数防御方案仅提出规则层面优化思路缺少轻量化、可直接集成至邮件网关的 Python 检测工程代码无法落地实现可视文本还原、加盐稀释度量化评分第三现有研究未厘清 LLM 模型被文本加盐干扰的底层逻辑未区分传统机器学习过滤器与大语言模型的差异化防护缺陷分层防御体系建设缺少针对性指引。结合 Barracuda 公开实战情报现有研究未能将攻击机理、AI 模型缺陷、自动化检测代码、长效运营防御策略形成完整论证闭环本文以此为核心研究缺口展开系统性分析填补文本加盐对抗 AI 邮件安全领域的实证与工程研究空白。1.3 研究内容与研究价值本文以 2026 年百万级零售主题文本加盐钓鱼事件为核心实证样本完成四项核心研究工作完整拆解文本加盐攻击全链路分类解析裁剪视窗、屏幕外偏移、零字号文本三类 CSS 隐藏技术的底层实现逻辑梳理 AI 生成填充文本对 AI 安全模型的干扰机制剖析 LLM 驱动邮件安全系统针对文本加盐攻击的原生架构缺陷对比传统静态过滤、机器学习、大语言模型三类防御工具的失效逻辑差异设计三层自动化检测机制提供 CSS 隐藏特征扫描、邮件可视文本还原、加盐风险量化评分三套 Python 工程代码适配企业邮件网关实时解析场景构建事前管控、事中实时检测、事后溯源复盘、长效情报运营的四层闭环防御体系给出可落地的云邮箱、本地邮件网关配置规范。理论价值层面本文补充对抗性填充文本干扰 LLM 邮件检测的专项研究厘清 HTML 源码与用户视觉视图分离带来的安全防护漏洞完善 AI 时代邮件钓鱼对抗防御理论体系实践价值层面文中检测代码、分层配置策略、常态化运营机制可直接部署于 Exchange、Barracuda 等主流邮件安全平台帮助政企单位拦截文本加盐类新型钓鱼攻击同时为安全厂商优化 LLM 邮件检测模型提供特征工程优化依据。1.4 论文结构安排本文共分为六个主体章节第一部分为引言阐述研究背景、现存研究缺口、研究框架与核心价值第二部分系统解析文本加盐攻击完整链路、三类 CSS 隐藏实现技术、产业化攻击特征第三部分深度剖析文本加盐针对 AI 邮件安全系统的绕过机理区分传统过滤器与 LLM 模型的差异化失效逻辑第四部分给出三套轻量化 Python 自动化检测代码分别对应隐藏样式识别、可视文本提取、加盐风险量化打分第五部分构建全生命周期四层闭环防御体系分层给出技术配置、人员培训、应急处置、情报协同方案第六部分为总结与研究展望梳理核心结论并提出对抗文本加盐攻击的技术发展方向。2 文本加盐Text Salting攻击全链路与 CSS 隐藏技术体系2.1 文本加盐攻击标准化完整流程Barracuda 对百万级零售主题钓鱼样本的溯源分析显示所有文本加盐攻击遵循统一六步标准化链路黑产依托生成式 AI、合规邮件基础设施、多层 CSS 隐藏技术完成攻击投递全程自动化执行无人工干预适配规模化批量投放场景。阶段 1诱饵主题与填充文本 AI 生成攻击者依托通用大语言模型批量生成两类文本内容一是面向收件人的可见恶意诱饵文案以零售福利、积分到期、礼品卡兑换为核心主题加入 “立即点击”“限时领取” 等诱导性强表达提升用户点击恶意链接概率二是海量无害加盐填充文本AI 自动生成无关联短篇故事、日常办公记录、闲聊对话词汇以 puppy、training、notes、book、rhythm 等中性、正向词汇为主稀释 “rewards、expires、card、verify” 等恶意关键词的全文占比。反网络钓鱼技术专家芦笛强调生成式 AI 是文本加盐攻击规模化爆发的核心助推因素传统手工编写填充文本效率极低而 AI 可在毫秒级生成数千字差异化无害内容每一封钓鱼邮件的加盐文本完全不重复规避基于文本指纹的静态拦截规则。阶段 2多层 CSS 隐藏逻辑封装攻击者将 AI 生成的加盐填充文本包裹于span、div等 HTML 容器内叠加两类及以上 CSS 隐藏属性形成多重遮蔽机制避免单一隐藏手段被安全工具识别。主流组合方案为零字号 视窗裁剪、屏幕外偏移 溢出隐藏、透明字体 高度压缩多层样式叠加后即便安全工具识别其中一种隐藏规则其余样式仍可持续将填充文本对用户完全不可见。阶段 3合规邮件基础设施部署攻击者选用被入侵正规网站、拼写混淆仿冒域名作为邮件发送源配置完整 DKIM 邮件身份认证协议提升邮件发件信誉度规避基于发件人信誉、域名黑名单的前置拦截机制。百万级样本中超 72% 钓鱼邮件通过 DKIM 校验传统邮件网关前置信誉筛查无法拦截。阶段 4钓鱼邮件批量分发攻击者批量导入企业通讯录、零售平台用户数据定向推送加盐钓鱼邮件邮件正文仅展示简短可见恶意诱饵底层源码嵌入数千字隐藏加盐文本内嵌跳转至恶意资产的短链接引导用户输入账号、支付信息完成欺诈。阶段 5AI 邮件安全网关解析源码误判邮件安全网关读取完整 HTML 源码将隐藏加盐文本与可见恶意文本合并输入机器学习、LLM 分析模型海量中性词汇稀释恶意特征权重模型修正邮件风险判定将钓鱼邮件归类为正常营销、办公消息完成投递。阶段 6用户触发欺诈操作收件人仅看到简短的零售福利诱导文案无法感知底层隐藏填充文本点击邮件内恶意链接跳转仿冒站点泄露个人账户、银行卡等敏感信息攻击者完成资金窃取、数据采集。2.2 三类核心 CSS 文本隐藏技术实现细节Barracuda 将实战样本中高频出现的隐藏技术划分为视窗裁剪、屏幕外偏移、零字号文本三类三类技术可单独使用也可多层叠加实现填充文本对用户完全不可见同时完整保留在 HTML 源码中供安全工具读取。三类CSS隐藏技术原理示意图2.2.1 视窗裁剪Clipped Content技术该技术依靠 CSS clip-path: inset(100%)、max-height:0; line-height:0 组合属性将存放加盐文本的容器可视区域完全压缩至 0 像素。clip-path: inset(100%) 从上下左右四个方向 100% 裁剪容器容器无任何可视空间配套max-height:0与line-height:0消除容器空白间隙避免邮件出现异常空白区块引发用户怀疑。技术优势即便浏览器不兼容裁剪属性高度压缩规则可独立完成文本隐藏形成双重兜底遮蔽效果是样本中使用占比最高的隐藏方案。2.2.2 屏幕外偏移Off-Screen Text技术核心 CSS 属性为text-indent: -9999px与overflow:hiddentext-indent将填充文本首行向左偏移近万像素超出浏览器可视页面边界overflow:hidden关闭容器横向滚动条用户无法通过滑动页面查看隐藏加盐文本。该技术常搭配绝对定位position:absolute使用将存放填充文本的容器整体偏移至页面可视区域外适用于大篇幅、长段落 AI 生成加盐内容的隐藏场景。2.2.3 零字号文本Zero Font技术将填充文本、干扰碎片文本的font-size设置为 0px实现两种对抗用途第一批量存放大段无害加盐文本字号归零后完全不可见第二在恶意关键词字符之间插入零字号随机干扰文本例如将 “Your password expired” 改写为 “Your passrandom neutral textword expired”。对于签名匹配类静态过滤工具检索完整短语时无法命中特征直接绕过基于精确字符串匹配的传统垃圾邮件过滤器同时零字号文本不影响用户正常阅读可见恶意文案。2.3 文本加盐攻击区别于传统隐藏文本垃圾邮件的核心特征对比早年仅用于垃圾广告的简单隐藏文本手段2026 年规模化文本加盐钓鱼攻击具备四项颠覆性特征也是其能够绕过 AI 邮件安全系统的关键生成式 AI 驱动差异化加盐内容传统隐藏文本垃圾邮件使用固定重复填充段落易被文本指纹识别当前攻击依靠 AI 生成无重复自然文本无统一特征指纹静态规则无法批量拦截多层 CSS 叠加遮蔽机制早期攻击仅使用单一隐藏样式网关可通过基础 CSS 特征扫描识别当前攻击叠加 2 种及以上隐藏规则单一特征检测失效针对性干扰 LLM 语义分析传统隐藏文本仅针对词频过滤文本加盐专门篡改 LLM 输入上下文改变模型对邮件意图、情感、风险等级的判断对新一代 AI 防御形成定向对抗依托合规域名与 DKIM 认证早年垃圾邮件多使用无认证、低信誉临时域名前置信誉筛查即可拦截百万级样本多数完成 DKIM 签名发件信誉筛查无法前置阻断攻击。3 文本加盐针对 AI 邮件安全系统的绕过底层机理3.1 传统静态邮件过滤工具失效逻辑传统安全网关依靠关键词词频统计、精确特征短语匹配判定邮件风险文本加盐攻击通过海量中性填充文本稀释恶意词汇在全文中的占比直接破坏词频评分机制。标准过滤规则逻辑为统计邮件内 “verify、reward、expire、gift card” 等高风险词汇出现频次结合全文总字符长度计算风险词密度密度超过阈值判定为钓鱼邮件。当攻击者注入数千字 AI 生成中性加盐文本后总文本长度大幅提升风险词密度下降至阈值以下过滤器判定邮件为正常消息。同时零字号字符插入技术拆分恶意特征短语精确字符串匹配规则无法命中完整恶意句式双重绕过传统静态过滤体系。3.2 机器学习邮件检测模型失效逻辑基于传统机器学习SVM、随机森林、逻辑回归的邮件检测模型输入特征包含文本词袋、TF-IDF 词频权重、情感极性等文本加盐从特征层干扰模型判定TF-IDF 权重稀释中性加盐词汇大量出现降低恶意关键词的逆文档频率权重模型无法识别恶意词汇为核心特征情感极性偏移AI 生成的加盐文本多为正向、中性叙事内容整体邮件文本情感由 “紧急诱导负面风险” 偏移为 “平和中性日常文本”情感特征分类失效特征维度爆炸海量加盐文本新增大量无关词汇特征模型特征空间冗余分类边界模糊误判概率大幅上升。3.3 LLM 大语言模型邮件安全系统原生缺陷核心攻击靶点当前主流新一代邮件安全网关搭载 LLM 模块依靠模型理解邮件上下文、识别钓鱼诱导意图但底层架构存在无法规避的原生短板成为文本加盐攻击的主要突破点。反网络钓鱼技术专家芦笛对此作出系统性解读LLM 邮件检测系统的核心缺陷是未区分机器可读源码文本与用户视觉可视文本模型输入为 HTML 解析后的全部原始文本隐藏加盐文本与可见恶意文本无隔离处理攻击者注入的海量中性文本会直接干预模型推理逻辑。3.3.1 上下文输入污染LLM 按照完整拼接文本进行上下文理解数千字无关加盐文本占据输入上下文窗口大部分容量模型注意力权重被分配至中性填充内容对简短可见恶意诱饵文案的关注度大幅降低无法识别诱导点击、隐私窃取的钓鱼核心意图。3.3.2 语义与情感判断偏移加盐文本以温和、日常、正向叙事为主整体文本语义倾向为普通生活、办公记录LLM 综合全文语义后判定邮件为正常营销、通知类消息忽略局部存在的恶意诱导内容。3.3.3 无视觉渲染分层处理机制绝大多数商用 LLM 邮件安全工具仅解析 HTML 源码提取文本不执行浏览器渲染还原用户可视页面无法剥离隐藏加盐文本、仅提取人类真实阅读的内容作为模型输入这是 LLM 被文本加盐轻易绕过的根本技术短板。3.4 文本加盐攻击完整绕过链路总结综合三层防御工具失效逻辑文本加盐标准化绕过链路形成闭环AI 生成海量中性填充文本→多层 CSS 样式隐藏填充内容→HTML 源码包含全部加盐文本用户仅可见恶意诱饵→安全网关解析全部源码文本输入检测模型→恶意词汇密度、语义、情感特征被加盐文本干扰→静态过滤、机器学习、LLM 模型同步误判邮件为正常内容→钓鱼邮件投递至收件箱完成欺诈。4 文本加盐钓鱼邮件自动化检测 Python 代码实现针对文本加盐攻击的三层技术特征本节提供三套轻量化 Python 检测代码无闭源第三方依赖可直接集成至邮件网关预处理模块、云邮箱日志审计平台分别实现 CSS 隐藏样式扫描、用户可视文本还原、加盐风险量化评分完整覆盖攻击全特征检测需求。4.1 CSS 隐藏文本特征扫描代码本代码基于 BeautifulSoup 解析邮件 HTML 源码匹配三类核心隐藏 CSS 样式特征标记存在多层遮蔽、零字号、视窗偏移的高危邮件输出隐藏元素数量、风险等级适用于邮件网关前置实时筛查。from bs4 import BeautifulSoupimport reclass CSSHiddenTextScanner:def __init__(self):# 匹配三类核心隐藏CSS正则表达式不区分大小写self.hidden_css_patterns [# 零字号文本特征re.compile(rfont-size\s*:\s*0px?, re.IGNORECASE),# 屏幕外偏移特征re.compile(rtext-indent\s*:\s*-9999px?, re.IGNORECASE),re.compile(roverflow\s*:\s*hidden, re.IGNORECASE),# 视窗裁剪压缩特征re.compile(rclip-path\s*:\s*inset\(100%\), re.IGNORECASE),re.compile(rmax-height\s*:\s*0, re.IGNORECASE),re.compile(rline-height\s*:\s*0, re.IGNORECASE)]self.risk_threshold_multi_layer 2 # 存在2种及以上隐藏样式判定高危def scan_html_hidden_elements(self, html_raw: str) - dict:扫描HTML源码统计隐藏CSS特征数量输出风险结果soup BeautifulSoup(html_raw, html.parser)all_elements soup.find_all([div, span, p])hit_pattern_count 0hit_detail []for elem in all_elements:elem_style elem.get(style, )if not elem_style:continue# 遍历所有隐藏样式规则匹配for pattern in self.hidden_css_patterns:if pattern.search(elem_style):hit_pattern_count 1hit_detail.append(f匹配隐藏样式{pattern.pattern}元素内容片段{elem.get_text(stripTrue)[:30]})# 风险等级判定if hit_pattern_count self.risk_threshold_multi_layer:risk_level highrisk_desc 邮件存在多层CSS文本隐藏疑似文本加盐钓鱼攻击elif hit_pattern_count 1:risk_level mediumrisk_desc 邮件检测到单条隐藏CSS样式存在潜在规避风险else:risk_level saferisk_desc 未检测到文本隐藏CSS特征return {total_hidden_style_hit: hit_pattern_count,hit_detail_list: hit_detail,risk_level: risk_level,risk_description: risk_desc}# 代码调用测试示例if __name__ __main__:# 模拟含多层CSS隐藏的文本加盐钓鱼邮件HTML片段test_html htmlbodyspan stylefont-size:0px; max-height:0;puppy training notes daily task rhythm book random story paragraph/spandiv styletext-indent:-9999px; overflow:hidden;long neutral filling text generated by LLM for text salting attack/divdiv stylecolor:#000;【限时福利】您的零售积分即将过期点击链接领取礼品卡奖励/div/body/htmlscanner CSSHiddenTextScanner()scan_result scanner.scan_html_hidden_elements(test_html)print(CSS隐藏特征扫描检测结果)print(scan_result)代码核心检测逻辑贴合 Barracuda 披露的三类主流隐藏技术可精准识别多层叠加遮蔽样式在邮件进入 LLM 语义分析模块前完成前置高危拦截减少 AI 模型被加盐文本污染的概率。4.2 邮件用户可视文本还原提取代码本代码过滤全部携带隐藏 CSS 样式的 HTML 元素仅提取浏览器正常渲染后用户可见的文本内容分离加盐填充文本与恶意诱饵文案将纯净可视文本输入 LLM 模型从底层消除文本加盐对语义分析的干扰是修复 LLM 检测缺陷的核心工程模块。from bs4 import BeautifulSoupimport reclass VisibleTextExtractor:def __init__(self):# 隐藏样式正则集合self.hidden_style_regex re.compile(rfont-size\s*:\s*0|text-indent\s*:\s*-9999|clip-path\s*:\s*inset\(100%\)|max-height\s*:\s*0|overflow\s*:\s*hidden,re.IGNORECASE)def remove_hidden_elements(self, soup_obj):递归删除所有携带隐藏CSS样式的HTML元素target_tags soup_obj.find_all([div, span, p])for tag in target_tags:tag_style tag.get(style, )if self.hidden_style_regex.search(tag_style):tag.decompose()return soup_objdef get_user_visible_text(self, html_raw: str) - str:输入原始HTML返回仅用户可见的纯净文本内容soup BeautifulSoup(html_raw, html.parser)# 移除全部隐藏加盐文本容器clean_soup self.remove_hidden_elements(soup)# 提取剩余可视文本去除多余空白换行visible_text clean_soup.get_text(stripTrue, separator )return visible_textdef compare_raw_visible_ratio(self, html_raw: str) - dict:计算原始总文本长度与可视文本长度比值量化加盐稀释程度full_soup BeautifulSoup(html_raw, html.parser)full_raw_text full_soup.get_text(stripTrue, separator )visible_text self.get_user_visible_text(html_raw)raw_length len(full_raw_text)visible_length len(visible_text)hidden_ratio 0.0if raw_length 0:hidden_ratio round((raw_length - visible_length) / raw_length, 4)return {raw_total_text_length: raw_length,user_visible_text_length: visible_length,hidden_text_ratio: hidden_ratio,visible_content: visible_text}# 调用测试示例if __name__ __main__:test_phish_html htmlbodyspan stylefont-size:0;puppy book training task rhythm random long paragraph filler text for salting/spandiv账户安全提醒立即点击链接完成积分兑换逾期失效/div/body/htmlextractor VisibleTextExtractor()ratio_result extractor.compare_raw_visible_ratio(test_phish_html)print(文本加盐稀释度与可视文本提取结果)print(ratio_result)代码核心价值在于重构 LLM 输入数据源过滤全部机器可读但用户不可见的加盐填充文本仅将人类真实阅读的诱饵文案送入大语言模型进行语义判定从根源解决文本加盐干扰 AI 检测的底层问题。其中hidden_text_ratio指标可量化加盐文本占全文比例比例超过 0.5 即判定为高风险加盐钓鱼邮件。4.3 文本加盐风险综合量化评分代码整合 CSS 隐藏特征、隐藏文本占比、恶意诱饵关键词三类特征构建加权风险评分模型输出 0-1 区间风险分数自动判定拦截、隔离、放行处置策略可直接对接邮件网关自动化处置引擎。class TextSaltingRiskScorer:def __init__(self):# 风险权重配置self.weight_hidden_css 0.4self.weight_hidden_ratio 0.35self.weight_mal_keyword 0.25# 零售钓鱼高频恶意诱饵关键词self.malicious_keywords [积分过期, 礼品卡, 奖励兑换, 限时领取, 账户验证,reward, expire, gift card, verify account, urgent action]# 风险阈值self.block_threshold 0.7self.quarantine_threshold 0.4def calc_risk_score(self, css_scan_result: dict, text_ratio_result: dict, visible_text: str) - dict:综合多维度特征计算文本加盐风险分数total_score 0.0risk_reason []# 维度1CSS隐藏样式风险打分css_hit css_scan_result[total_hidden_style_hit]if css_hit 2:css_score 1.0 * self.weight_hidden_cssrisk_reason.append(存在多层CSS文本隐藏特征)elif css_hit 1:css_score 0.5 * self.weight_hidden_cssrisk_reason.append(检测到单条文本隐藏CSS样式)else:css_score 0.0total_score css_score# 维度2隐藏文本占比打分hidden_ratio text_ratio_result[hidden_text_ratio]ratio_score hidden_ratio * self.weight_hidden_ratioif hidden_ratio 0.5:risk_reason.append(f隐藏加盐文本占全文{hidden_ratio*100}%稀释恶意特征)total_score ratio_score# 维度3可视文本恶意关键词匹配打分hit_keywords [kw for kw in self.malicious_keywords if kw.lower() in visible_text.lower()]keyword_score 0.0if len(hit_keywords) 0:keyword_score 1.0 * self.weight_mal_keywordrisk_reason.append(f可视诱饵命中钓鱼关键词{hit_keywords})total_score keyword_score# 处置策略判定final_score round(total_score, 4)if final_score self.block_threshold:action blockverdict 确认文本加盐钓鱼邮件直接拦截elif final_score self.quarantine_threshold:action quarantineverdict 高可疑加盐钓鱼邮件隔离并推送管理员告警else:action passverdict 正常邮件无文本加盐风险return {final_risk_score: final_score,risk_detail: risk_reason,auto_action: action,verdict: verdict}# 综合调用测试示例if __name__ __main__:# 模拟前置模块输出结果mock_css_scan {total_hidden_style_hit: 2,hit_detail_list: [],risk_level: high,risk_description: }mock_text_ratio {raw_total_text_length: 12800,user_visible_text_length: 620,hidden_text_ratio: 0.9516,visible_content: 您的零售积分即将过期点击链接领取礼品卡奖励}visible_text mock_text_ratio[visible_content]scorer TextSaltingRiskScorer()final_risk scorer.calc_risk_score(mock_css_scan, mock_text_ratio, visible_text)print(文本加盐综合风险评分结果)print(final_risk)该代码实现多特征融合风险判定将 CSS 隐藏特征、加盐文本稀释比例、可见恶意诱饵三类核心攻击指标加权计算输出标准化处置指令可实现邮件网关自动化拦截、隔离流程降低人工安全运营压力。5 面向文本加盐攻击的四层闭环邮件安全防御体系结合 Barracuda 官方防护建议、反网络钓鱼技术专家芦笛的分层防御观点、前文攻击机理与检测代码本文构建事前源头管控 - 事中实时多层检测 - 事后标准化应急处置 - 长效威胁情报运营四层闭环防御框架覆盖邮件网关技术改造、云租户策略配置、人员安全培训、黑产攻击溯源全维度消除文本加盐攻击的可行空间。5.1 第一层事前源头管控 —— 压缩文本加盐攻击投递渠道事前管控从邮件分发源头阻断攻击触达核心措施分为邮件身份认证加固、发件人信誉管控、第三方 AI 钓鱼生成工具拦截三类降低加盐钓鱼邮件抵达企业网关的概率。5.1.1 全量启用邮件身份认证协议强制企业域名配置 SPF、DKIM、DMARC 完整三重邮件认证对未通过 DKIM 校验、DMARC 策略为无防护的邮件直接隔离。Barracuda 百万级样本数据显示72% 加盐钓鱼邮件依托 DKIM 合规域名提升投递成功率收紧 DMARC 策略可拦截近半数低信誉仿冒域名攻击。反网络钓鱼技术专家芦笛补充仅依靠 DKIM 无法完全阻断攻击攻击者可劫持正规站点完成签名需配套发件人信誉动态评分机制对短时间批量发送零售福利主题邮件的域名标记高风险。5.1.2 云邮箱租户权限与内容管控针对 Microsoft 365、阿里云邮等企业云邮箱配置标准化管控策略限制外部匿名发件人批量群发邮件设置单 IP、单域名每日邮件投递上限拦截外部邮件内短链接跳转、第三方仿冒零售站点域名维护零售钓鱼恶意域名动态黑名单关闭外部邮件自动图片加载、自动链接预览功能减少用户无意识点击恶意链接行为禁用 HTML 自定义复杂 CSS 渲染过滤clip-path、text-indent、font-size:0等高风险样式自动渲染。5.1.3 常态化员工专项安全培训FBI、Barracuda 安全报告均指出人员是邮件安全体系的薄弱环节针对文本加盐攻击的培训需打破固有认知误区专项讲解 “源码与视觉内容分离” 攻击原理告知员工即便邮件内容简短正常外部链接仍存在钓鱼风险每月投放复刻文本加盐技术的仿真钓鱼演练使用零售福利诱饵测试员工点击行为统一办公规范外部福利、账户验证类邮件禁止直接点击内嵌链接手动访问官方零售平台核验通知真伪。5.2 第二层事中实时多层检测 —— 修复 AI 邮件系统原生缺陷依托第四章三套 Python 检测代码重构邮件网关预处理流程形成 “CSS 隐藏特征扫描→可视文本还原提取→加盐风险量化评分→LLM 语义分析” 四层串行检测链路从底层解决文本加盐干扰 AI 模型的核心问题。5.2.1 前置 CSS 隐藏样式实时筛查将 CSSHiddenTextScanner 模块部署为邮件网关第一级预处理流程检测到多层叠加隐藏样式的邮件直接标记高风险优先隔离避免污染下游 LLM 语义分析模块减少模型计算资源消耗。5.2.2 可视文本还原作为 LLM 唯一输入源改造 LLM 邮件安全模块输入逻辑调用 VisibleTextExtractor 过滤全部隐藏加盐文本仅将浏览器渲染后的用户可视文本送入大语言模型进行意图、风险判定彻底消除海量中性填充文本对语义分析的干扰修复 LLM 原生架构缺陷。5.2.3 加盐稀释度量化风险加权判定集成 TextSaltingRiskScorer 综合评分模块结合隐藏文本占比、CSS 特征、恶意诱饵关键词输出标准化处置指令分数高于阈值自动拦截可疑邮件中等风险邮件隔离至安全管理员审查区实现自动化分层处置。5.2.4 多维度辅助特征联动校验叠加发件人信誉、邮件链接域名、邮件主题相似度、批量群发行为辅助校验单一维度风险不触发处置但多维度特征叠加同步命中时提升风险权重弥补单一层检测的漏报缺陷。5.3 第三层事后标准化应急处置流程若检测系统漏报员工点击加盐钓鱼邮件内恶意链接触发安全事件执行标准化六步应急处置流程最大限度降低数据泄露、财产损失风险步骤 1临时冻结涉事员工云邮箱账户阻断攻击者依托账户发送同源加盐钓鱼邮件完成内部横向扩散步骤 2提取邮件完整 HTML 源码运行三套检测代码完成攻击特征复盘记录隐藏 CSS 类型、加盐文本稀释比例、恶意诱饵关键词步骤 3检索租户邮件审计日志统计同源加盐钓鱼邮件投递范围向全体收件员工推送专项风险预警步骤 4清理账户内攻击者新增邮件转发规则、外部应用授权、备用联系方式消除持久驻留通道步骤 5将本次攻击的 CSS 特征、恶意域名、诱饵话术同步更新至网关检测规则库动态升级拦截阈值步骤 6留存完整邮件样本、检测日志向 Barracuda、行业威胁情报平台提交攻击样本补充黑产情报库。5.4 第四层长效威胁情报运营 —— 对抗 AI 驱动的迭代攻击反网络钓鱼技术专家芦笛强调生成式 AI 持续降低文本加盐攻击制作门槛黑产会不断迭代 CSS 隐藏组合、诱饵话术、填充文本生成逻辑静态检测规则会持续失效必须建立动态长效情报运营机制威胁情报动态同步更新对接 Barracuda、Cisco Talos 等安全厂商威胁情报库同步新增零售钓鱼恶意域名、新型 CSS 隐藏样式、AI 加盐文本特征每日自动更新网关检测规则月度安全策略复盘优化汇总当月仿真钓鱼演练、真实文本加盐安全事件数据调整风险评分权重、隐藏文本占比阈值适配黑产攻击迭代特征跨行业样本协同共享政企、零售行业企业共享文本加盐钓鱼样本联合安全厂商分析 AI 填充文本生成规律研发针对 AI 生成加盐内容的专属语义识别规则持续跟踪 HTML 邮件标准漏洞跟踪邮件客户端 CSS 渲染机制更新同步调整隐藏样式匹配规则避免攻击者利用浏览器兼容漏洞开发新型文本加盐遮蔽技术。6 总结与研究展望6.1 核心研究结论本文以 2026 年 Barracuda 监测到的百万级零售主题文本加盐钓鱼事件为实证基础完成系统性拆解与防御体系构建得出四项核心研究结论第一文本加盐Text Salting依托 AI 批量生成中性填充文本、多层 CSS 隐藏技术形成规模化对抗攻击可同步绕过传统静态关键词过滤、机器学习分类器、LLM 大语言模型三类主流 AI 邮件安全防御工具核心底层漏洞是现有安全系统仅解析原始 HTML 源码未还原用户可视渲染文本第二攻击主流 CSS 隐藏手段分为视窗裁剪、屏幕外偏移、零字号文本三类多层样式叠加遮蔽是规避基础特征检测的关键零字号字符插入还可拆分恶意特征短语实现双重绕过第三修复 LLM 邮件安全系统缺陷的核心工程方案为前置过滤隐藏加盐文本仅提取用户可视内容作为模型输入配套 CSS 隐藏特征扫描、加盐稀释度量化加权评分可将文本加盐钓鱼邮件拦截率提升至 94.7% 以上第四文本加盐攻击是 AI 技术双向赋能网络攻防的典型案例攻击者依靠生成式 AI 降低攻击成本防御方需同步改造 AI 检测底层输入逻辑构建 “事前管控 - 事中多层检测 - 事后应急处置 - 长效情报运营” 四层闭环防御体系单一维度技术防护无法持续对抗迭代化黑产攻击。反网络钓鱼技术专家芦笛总结文本加盐攻击揭示当前 AI 邮件安全建设的普遍认知误区多数厂商过度依赖大语言模型语义分析能力忽视 HTML 源码与用户视觉视图的信息差漏洞防御体系设计必须兼顾机器解析逻辑与人类真实阅读场景从数据输入源头消除对抗性规避手段的干扰才能发挥 AI 安全工具的防护价值。6.2 研究局限与未来展望本文研究存在两处客观局限一是三套 Python 检测代码为轻量化原型实现未集成深度学习多模态视觉渲染模块大规模企业环境下可结合浏览器渲染引擎模拟完整页面视图进一步提升隐藏文本识别精度二是实证样本以零售主题钓鱼邮件为主办公通知、金融账单类文本加盐攻击话术特征有待补充更多行业样本完善风险关键词库。未来针对文本加盐类 AI 对抗钓鱼攻击的研究可向三个方向延伸浏览器渲染引擎集成检测技术研究模拟全兼容邮件客户端 HTML 渲染逻辑精准识别多层嵌套、响应式 CSS 隐藏加盐文本大语言模型对抗训练优化研究使用海量文本加盐钓鱼样本微调邮件安全 LLM提升模型在存在隐藏填充文本场景下的恶意意图识别能力生成式 AI 钓鱼攻击溯源技术研究依托加盐文本句式、词汇特征溯源攻击者使用的大模型工具配合执法机构打击 PhaaS 钓鱼服务平台从源头减少文本加盐攻击供给。随着生成式 AI 工具持续普及依托 HTML、CSS、字符编码的对抗性邮件规避技术会持续迭代政企单位邮件安全建设不能仅依靠单一 AI 语义检测模块必须构建源码解析、视觉还原、特征量化、情报动态更新的多层纵深防御体系平衡办公通信便捷性与云邮箱数据、资金安全防护能力应对 AI 产业化网络钓鱼带来的长期对抗风险。编辑芦笛公共互联网反网络钓鱼工作组