Hacker News
A report by Norn Labs reveals that Google Safe Browsing failed to flag nearly 84% of confirmed phishing sites, highlighting the limitations of reactive blocklist-based detection compared to active scanning tools.
AI 生成摘要
Norn Labs 的報告顯示,Google 安全瀏覽功能未能標記近 84% 的已確認釣魚網站,這突顯了與主動掃描工具相比,基於黑名單的被動偵測機制所存在的侷限性。
Norn Labs 發布了一份關於其網路釣魚偵測工具 Huginn 的研究報告,指出 Google Safe Browsing(GSB)在 2026 年 2 月的測試中表現不佳,漏掉了高達 84% 的確認釣魚網站。該報告強調,現代釣魚攻擊傾向利用 Weebly、Vercel 甚至 Google 自身的基礎設施(如 Google Docs 或 Forms)來規避傳統的黑名單機制,因為這些合法網域無法被整站封鎖,而 GSB 的反應速度往往跟不上釣魚頁面短暫的生命週期。
Hacker News 的討論主要圍繞在實驗數據的嚴謹性以及釣魚偵測工具的設計邏輯。許多留言者對報告中提到的「深度掃描」準確率表示強烈質疑,因為該掃描雖然捕捉到了所有釣魚網站,卻也將測試集中僅有的 9 個合法網站全部標記為可疑。批評者認為,如果一個工具將所有內容都視為威脅,那麼其偵測價值將趨近於零,甚至有網友諷刺這種邏輯與直接假設「所有網站都是釣魚」無異。對此,開發者在討論中坦承數據集規模較小,且目前的樣本主要來自人工確認的釣魚網址,未來會致力於擴大樣本量並優化誤報率的呈現方式。
另一部分的討論聚焦於 Google 在處理自家平台釣魚活動時的消極態度。有用戶指出,Google 甚至在自己的搜尋結果中直接展示釣魚連結,或是在 Gmail 中允許利用 Google 服務進行詐騙,這種「球員兼裁判」卻又疏於管理的現象令人費解。部分觀點認為,這可能是因為 Google 內部僅有極少數人力在維護相關安全專案,或者攻擊者已學會如何向 Google 爬蟲展示偽裝後的正常網頁,導致自動化偵測失效。
此外,社群也探討了安全警告疲勞的問題。隨著各類安全工具頻繁發出警告,普通用戶往往會因為過度干擾而選擇忽視,這使得技術上的偵測提升若缺乏相應的用戶教育,最終仍難以發揮實質作用。一些資深開發者則從架構層面反思,認為傳統的中心化黑名單機制在面對託管於合法平台的釣魚攻擊時已顯得力不從心,業界需要更具隱私保護且能即時分析頁面內容的新型防禦手段,而非僅依賴反應遲鈍的靜態名單。
在討論中,有研究者分享了其關於瀏覽器安全防禦的碩士論文,探討了除了中心化黑名單之外,如何利用具備隱私保護特性的替代方法來保護用戶免受惡意網站侵害。該研究的部分概念據稱已被 Chrome 瀏覽器採納,對於想了解現代瀏覽器安全架構演進的讀者具有參考價值。