过去一年，互联网黑灰产的动作并未因监管趋严而减弱，反而在资源结构、作恶方式与技术路径上发生显著演化。威胁猎人在其最新发布的《2025年互联网黑灰产趋势年度总结》中指出，黑灰产正从“堆资源、拼人力”的传统模式，转向更隐蔽、更低成本、更接近真实用户行为的“类真人化、智能化作恶”阶段。

据介绍，这份报告是威胁猎人《2025年互联网反欺诈年鉴》系列的首篇，后续还将围绕多个高发场景陆续发布4份专题报告，形成从攻击资源—攻击技术—落地场景的系统化年度研判框架。

“真人化×智能化”如何把黑灰产推向“工业化作恶”

资源端“换代”：从猫池卡到拦截卡，“真人链路”成为新底座

威胁猎人报告显示，2025年国内新增风险手机号量级超1100万、同比提升30.02%；但更关键的不是“总量涨了多少”，而是“结构变了”：黑卡产业主力资源在“换代”——从过去以猫池卡为主，逐步转向以拦截卡为主。

数据显示，2025 年国内新增拦截卡 786 万例，相比 2024 年提升 127.77%；拦截卡在新增风险手机号里的占比，达到了 69.23%，超过了猫池卡。

猫池卡：传统接码手机号，手机卡掌握在黑产手中，并插在特殊设备“猫池”上收发短信验证码。

拦截卡：手机卡插在正常人持有的设备上，如儿童手表、老人机等，但因为设备已被黑产提前植入后门，导致短信验证码被黑产拦截。

除拦截卡外，报告里还提到 2025 年新出现多个真人众包型接码平台。

“真人众包”在黑灰产业里不是第一次出现，但真人众包型接码平台是今年首次被发现。以前的众包，用户还要做刷单、刷好评；现在更低门槛：只要把手机号和验证码交上去就能拿佣金。仅2025年11月和12月，威胁猎人就监测到超过4万个真人号码被卷入欺诈。

在威胁猎人看来，这类“真人卡”的资源，显著提升了攻击隐蔽性与存活周期，也让企业溯源与治理难度进一步加大。

技术端提效：AI工作流叠加智能体，自动化作恶开始规模化复制

当生成式AI与智能体能力加速普及，黑灰产的“作恶工具箱”也被重新定义。威胁猎人报告指出，AI不仅降低了作恶门槛，还带来了更高效率的自动化攻击能力——尤其在“类人交互、跨App连续操作”方面，潜在影响正在从概念走向可验证。

这意味着，过去依靠“识别脚本”“识别批量机器行为”的风控假设，正在被更“像人”的攻击行为持续冲击。

以AI换脸为例，从早期照片动画，到离线换脸模型、实时换脸，再到本地工作流、在线工作流引擎、云端 SaaS。它带来的变化之一，就是生成质量跃升，视觉效果从“僵硬”走向“毛孔级真实”。

更关键的是门槛下降：在 AI 工作流时代，攻击者只需要极少的素材组合（如1 张图片 + 1 段音频 + 1 个动作参考视频”），就能一键生成口型同步、动作自然的视频内容，用于直播、短视频，甚至冲击身份认证与人脸验证场景。

场景端外溢：AI加持下，欺诈链路更自动化、收益更放大

在场景侧，黑产仍围绕高补贴、高流量场景进行系统性利用，仅业务欺诈相关攻击情报，威胁猎人报告披露其全年捕获量约13.1亿条。

同时，报告还点出了多个值得行业高度关注的新趋势：

钓鱼仿冒：从“点链接”进化为“GEO投毒”式认知劫持，通过污染AI搜索引用的信息源，诱导用户主动拨打虚假客服电话。

数据泄露：风险高度集中在“泛金融”板块，且黑产开始利用AI模型做高价值数据清洗与质量控制，以提升诈骗转化率。

信贷欺诈：职业背债相关风险舆情量较2024年增长168%，企业贷、信用贷、房贷风险位居前列，并呈现明显区域差异。

这些变化背后，主线其实很清晰：黑产正在同时“升级资源真实性”与“升级自动化能力”，让攻击更隐蔽、更规模化、更贴近真实业务链路。

防线前移：情报驱动的主动防御正在成为标配

在威胁猎人看来，面对“类真人化、智能化作恶”，单纯堆叠规则与模型，很容易陷入“被动修补”。企业更需要把对抗前移：

前移到资源侧：谁在供给、供给怎么变、哪些新资源正在替代旧资源；

前移到工具侧：哪些AI/自动化能力开始被“产品化”“一键化”；

前移到场景侧：黑产会优先在哪些业务环节套利、如何组合攻击链路。