Xuan Chen, Hao Liu, Tao Yuan, Mehran Kafai, Piotr Habas, Xiangyu Zhang
Purdue University, Amazon

论文要点

传统钓鱼网站检测方法依赖静态启发式规则或参考列表，难以跟上快速演化的钓鱼攻击步伐。近年来的检测系统虽融入了大语言模型（LLM），但仍采用基于提示词的确定性流程，未能充分发挥模型的推理能力。为此，研究者提出了记忆增强钓鱼检测智能体（MemoPhishAgent，MPA）—— 一款记忆增强的多模态大语言模型智能体，它能动态调度各类钓鱼检测专用工具，并利用过往推理轨迹的情景记忆，为重复出现及新型钓鱼威胁的判定提供指导。

在两个公共数据集的测试中，MPA 性能优于三个当前最优的基线模型，召回率提升了 13.6%。为更贴合真实的用户端钓鱼检测场景表现，研究者进一步基于从五大社交媒体平台主动爬取的真实可疑 URL 基准数据集对 MPA 开展评估，其召回率在此数据集上实现了 20% 的提升。详细分析表明，情景记忆模块能为模型带来最高 27% 的召回率提升，且不会产生额外的计算开销。消融实验验证了，相较于基于提示词的基线方法，智能体架构的设计具有必要性，同时也证实了研究者所设计的检测工具的有效性。

目前，MPA 已完成工业级落地部署，每周可处理约 6 万个高风险目标 URL，召回率达 91.44%，为数百万用户提供主动的钓鱼防护。综合各项实验结果可见，将多模态推理与情景记忆相结合，能在真实的用户接触场景中实现鲁棒的钓鱼检测效果。本研究相关代码将在论文录用后正式开源。

研究目的

本论文的研究目的围绕解决钓鱼 URL 检测领域现有方法的核心缺陷，打造适配真实场景、高效且鲁棒的检测方案展开，同时验证创新技术架构在实际落地中的可行性与有效性，具体可归纳为：

1. 解决传统及现有钓鱼 URL 检测方法的固有短板，包括静态启发式规则、参考列表类方法难以跟上快速演化的钓鱼攻击，基于机器学习的方法需大量人工特征工程且适配新攻击模式的成本高，现有融合大语言模型的检测系统多采用基于提示词的确定性流程，未充分发挥 LLM 的推理能力，且依赖通用工具、无自适应证据收集能力，同时无记忆设计导致无法复用历史检测经验，在重复攻击模式下效率与准确性受限的问题，弥补现有检测体系在应对非稳态钓鱼威胁、真实场景约束时的检测能力不足。

2. 设计并验证一款专为真实场景钓鱼 URL 检测打造的智能体式框架，通过构建钓鱼检测专用的多模态工具集，让检测系统能够基于当前获取的证据动态选择、调度工具，而非遵循固定流程，以此提升检测的准确率与效率，突破现有 LLMagent 类检测方案工具通用性强、流程固化的局限。

3. 研发创新的情景记忆模块并验证其效用，让检测系统能够存储、检索并复用过往的推理轨迹与检测结果，将历史检测经验转化为可复用的知识，实现对重复出现的钓鱼模式快速判定，同时为复杂疑难检测案例提供针对性参考，在不增加计算开销的前提下提升检测性能，解决现有检测系统无历史经验复用能力的问题。

4. 验证所提出的 MemoPhishAgent（MPA）在各类场景下的检测性能，包括静态基准数据集、从社交媒体平台爬取的真实可疑 URL 数据集，同时通过工业级落地部署验证其实际应用价值，为海量用户提供主动的钓鱼防护，证明多模态推理与情景记忆相结合的技术路线，能够在真实的用户接触场景中实现高鲁棒性的钓鱼检测，为实际的网络安全防护提供可落地的技术方案。

5. 通过全面的消融实验、敏感性测试等，验证所设计的智能体架构、专用多模态工具、情景记忆系统的必要性与有效性，同时探究系统在对抗性攻击、不同参数设置、记忆修剪等各类条件下的鲁棒性，为钓鱼 URL 检测领域的技术研究提供可参考的实验结论与技术方向。

研究贡献

• 研究者提出了记忆增强钓鱼检测智能体（MemoPhishAgent），这是首个专为真实场景钓鱼 URL 检测设计的智能体式框架。相较于现有方法难以应对非稳态钓鱼威胁、受现实场景约束的问题，研究者设计了多模态检测工具，让智能体能够基于当前获取的证据自主选择工具，而非遵循固定流程，从而同时提升了检测的准确率与效率。

• 研究者设计了一种全新的情景记忆模块，可存储过往的推理轨迹与检测结果，并将其作为针对性范例和启发式规则进行检索调用。该模块将历史检测经验转化为可复用的知识，既能够对出现重复模式的钓鱼行为快速做出判定，也能为复杂疑难的检测案例提供更具针对性的参考范例。

• 实验结果表明，MemoPhishAgent（MPA） 在静态基准数据集和从社交媒体平台爬取的真实场景数据集上，性能均优于当前的最优方法。研究者还通过工业级落地部署验证了该方法的实际效用，目前已为数百万用户提供防护。此外，研究者开展了全面的消融实验，验证了所设计的记忆系统和专用检测工具的必要性与有效性。

引言

钓鱼攻击始终是一种普遍存在且代价高昂的网络威胁，攻击者还在不断变换手段，试图规避检测技术的识别。基于静态黑名单和人工设计启发式规则的传统防御手段，虽能有效识别已知的钓鱼攻击，但当攻击者注册新域名、对内容进行混淆处理或更换攻击基础设施时，这类方法的检测覆盖范围会迅速下降。基于参考列表的检测方法通过将待检测 URL 与人工整理的品牌 - 域名映射库进行校验，降低了仿冒域名和拼写劫持类钓鱼攻击的风险，提升了检测的鲁棒性。但这类品牌 - 域名映射库的维护成本极高，且难以跟上新兴品牌、新子域名的出现速度和钓鱼攻击活动的迭代节奏，在实际应用中成为了检测性能的瓶颈。

基于机器学习的检测方法则进一步扩大了检测覆盖范围，这类方法从 URL、HTML 页面内容和网页截图中提取多模态特征，并基于这些特征训练分类器。将提取的特征输入梯度提升树、Transformer 等分类模型后，这类方法的检测覆盖能力和适应性均优于基于规则的检测系统。尽管如此，为了适配新型钓鱼手段，基于机器学习的方法往往需要大量的人工特征工程和模型重训练工作，耗费大量的计算资源。为提升检测的可靠性，相关领域的最新研究将大语言模型打造为智能体，通过多步推理协调各类工具完成检测，或直接将大语言模型作为内部知识库使用。这类方法的灵活性虽有提升，却过度依赖通用工具，而非为钓鱼检测场景量身设计的专用工具。Cao 等（2025）提出了一种基于多模态大语言模型的钓鱼 URL 检测方案，该方案利用大语言模型解析工具输出结果，提升了检测的可靠性，但仍限制了证据收集的自适应性。模型的推理过程只能基于部分已获取的证据展开，而下一步最具信息价值的检测操作，实则取决于当前已观测到的证据内容。此外，这类无记忆设计的检测方案无法利用历史检测的调查经验，在面对重复出现的钓鱼攻击模式时，检测的准确率和效率均受到限制。

为解决上述问题，研究者设计并落地了记忆增强钓鱼检测智能体（MemoPhishAgent，MPA），这是首个专为真实场景钓鱼 URL 检测打造的多模态大语言模型智能体，它能够基于当前获取的证据状态，动态选择并调度钓鱼检测专用工具的执行顺序，而非遵循预设的固定检测流程。受人类安全专家调查可疑网站思路的启发，研究者为 MPA 配备了五款专用的多模态工具，可收集多维度的互补性检测证据。为进一步提升检测效率，研究者还设计了一套创新的记忆系统，能够对历史推理轨迹进行存储、检索和管理，并从过往的所有检测交互中学习，持续优化工具调用策略。本研究的核心贡献可总结如下：

1. 提出了记忆增强钓鱼检测智能体（MemoPhishAgent），这是首个针对真实场景钓鱼 URL 检测设计的智能体式框架。相较于现有难以应对非稳态钓鱼威胁、受现实场景约束的检测方法，研究者设计了多模态检测工具，并让智能体能够基于当前获取的证据自主选择工具，而非遵循固定流程，同时提升了检测的准确率与效率。

2. 设计了一种全新的情景记忆模块，可存储过往的推理轨迹与检测结果，并将其作为针对性范例和启发式规则进行检索调用。该模块将历史检测调查经验转化为可复用的知识，既能对出现重复模式的钓鱼攻击快速做出判定，也能为复杂疑难的检测案例提供更具针对性的参考范例。

3. 实验结果表明，MPA 在静态基准数据集和从社交媒体平台爬取的真实场景数据集上，性能均优于当前的最优基线模型。研究者还通过工业级落地部署验证了该方案的实际效用，目前已为数百万用户提供钓鱼防护。此外，研究者开展了全面的消融实验，验证了所设计的记忆系统和钓鱼检测专用工具的必要性与有效性。

相关工作

经典方法与基于参考列表的方法

早期的钓鱼 URL 检测工具依靠人工构建的黑名单和启发式规则识别恶意网站，这类方法通过将待检测 URL 与已知钓鱼列表进行匹配，或依据 URL 令牌模式、HTML 结构制定规则开展检测，对已知品牌的钓鱼攻击能实现较高的检测精准度。但由于其对预设规则和固定列表的依赖，这类方法难以跟上钓鱼攻击手段的持续演变。为解决上述缺陷，基于参考列表的检测方法引入了品牌 - 域名映射机制：先构建标注有品牌及其正规域名的参考列表，检测时提取待检测 URL 中的品牌信息，校验其域名是否与参考列表中的正规域名一致，若不匹配则将该 URL 标记为钓鱼链接。该方法在简单的模式匹配基础上增加了语义分析层面，但依旧依赖实时更新的品牌列表，无法适配品牌新子域名的出现，进而导致检测覆盖范围受限。

基于机器学习的方法

基于机器学习的检测方法不再依赖静态列表，而是通过提取并分析特定特征实现钓鱼网站检测，特征来源包括域名模式、HTML 文件以及网页截图的嵌入特征，这些多模态特征集会被输入机器学习或 Transformer 模型，以此提升对各类钓鱼手段的检测覆盖能力。但这类方法存在明显短板，不仅需要由专业人员完成高成本的特征工程工作，且针对新型钓鱼模式，需基于新特征对模型重新训练，因此难以快速适配钓鱼攻击的演变与创新。

基于大语言模型和智能体的方法

这类方法通过向大语言模型输入提示词，使其对 HTML 页面、网页截图或爬取的文本内容进行检测分析，借助大语言模型的多模态理解能力和内置知识库实现钓鱼检测。但为了保证检测稳定性并控制成本，独立部署的大语言模型通常采用单轮提示词的检测模式，这不仅限制了证据收集的全面性，还会在处理边缘案例时大幅增加误报率。为提升检测可靠性，近期相关研究提出了智能体式检测流程，通过协调各类工具并开展多步推理，实现更丰富的证据收集，应对更复杂的 URL 检测场景。但这类检测流程仍采用确定性的证据获取策略，虽提升了检测的可预测性，却降低了对新型钓鱼案例的响应能力；此外，流程中使用的工具均为通用工具，并非针对钓鱼检测场景量身打造，因此在实际检测中，其证据收集策略和工具设计仍有较大的优化空间。

研究方法

问题设定与威胁模型

威胁模型

本研究参考现有研究设定攻击模型，攻击者以窃取用户凭证、个人数据或诱导有害行为为目标，通过仿冒品牌或通用诱饵诱骗用户访问其控制的网络资源。攻击者可操控网页文本、图片等客户端内容，通过内容混淆、URL 短链、多跳重定向等方式规避检测，且能自适应调整网页以绕过主流启发式检测，但无法篡改已部署的检测流程和智能体记忆模块。

研究范围

研究聚焦真实用户接触场景的在线钓鱼检测，针对社交平台、即时通讯等渠道的可疑 URL，分析用户实际可访问的实时动态网页。这类网页具有交互性、内容易变的特征，证据状态呈非稳态，与离线检测预收集固定证据的模式不同，要求检测系统具备工具自适应调用和记忆指导检测的能力。实际应用中可疑 URL 可通过第三方后续验证，因此部署以高召回率为核心目标，最大化减少钓鱼 URL 漏检，容忍可控的假阳性结果。

整体架构概述

MemoPhishAgent（MPA）的端到端架构，检测从可疑 URL 列表开始，智能体动态调度五款专用工具收集证据，经多步推理给出 URL“恶意 / 良性” 的判定结果并附判定理由，被标记为恶意的 URL 将提交至第三方评估机构做真实标签验证。后续章节将详细阐述工具、情景记忆结构的设计动因与方案，以及基于记忆优化的工具调用策略。

工具设计

本研究围绕多模态证据获取、非稳态威胁外部知识补充、嵌套攻击面深度挖掘三大核心维度，设计五款钓鱼检测专用工具，通过获取互补的多模态证据实现鲁棒的钓鱼 URL 检测，各维度及对应工具功能如下：

1. 多模态证据获取（文本 + 视觉）
   针对钓鱼线索分布在 HTML语义和网页视觉的特征，设计三款工具实现双维度取证：页面内容爬取工具爬取网页并将原始 HTML 转为 LLM 友好的 Markdown 格式，减少令牌浪费并聚焦核心语义，且智能体对爬取内容格式选择具备鲁棒性；网页截图检测工具总结全屏截图并引导 LLM 评估视觉可疑性；图片细查工具在全屏截图检测无明确结论时，提取页面关键图形元素做细粒度视觉分析。

2. 非稳态威胁的外部知识补充
   针对 LLM 内置知识难以跟进钓鱼手段和正规域名快速演变的问题，设计智能搜索工具，支持智能体基于已有证据生成针对性搜索查询，将检索结果融入检测分析，提升对陌生及新型钓鱼模式的判定能力。

3. 嵌套攻击面的深度挖掘
   针对钓鱼网站将恶意操作隐藏在重定向链接或子页面的特点，设计目标提取工具，识别网页中可疑的嵌入式链接和重定向目标，提取子级 URL 供深度检测，且子级 URL 可通过其他工具进一步分析。

情景记忆系统

MPA 搭载五款专用工具，在 ReAct 框架下迭代选择工具、基于证据推理，直至得出最终检测判定。每个 URL 的检测会产生工具调用轨迹和判定结果，本研究将其作为可复用监督信息，相似 URL 出现时可检索历史记录提升推理的速度与稳定性。基于此，研究借鉴检索增强型 LLM 及相关记忆系统设计思路，引入情景记忆模块，其核心作用为两点：一是快速召回相似历史推理轨迹，复用有效的证据收集路径；二是聚合多个相似案例的判定结果，形成稳健共识，减少 LLM 幻觉和单样本偏差。

记忆构建

为高效判定 URL 相似性，研究摒弃低效的原始文本 / 内容嵌入方式，由 LLM 基于网页文本和截图提取体现核心语义的精简关键词集，通过预训练句子编码器将关键词集转为嵌入向量，存入向量索引库，同时关联存储对应的完整工具调用序列和最终检测判定结果。该设计实现存储轻量化的同时，完整保留推理轨迹，为后续复用提供支撑。

记忆检索与管理

• 相似性检索
  针对新输入 URL，先提取其核心关键词集，通过余弦相似度算法检索向量索引库中相似度最高的前 k 个邻居关键词集，将相似度超过阈值 τ 的纳入匹配集（规模记为 k'）。部署初期记忆数据稀疏，k' 可能为 0，随检测推进，记忆不断积累，检索将返回更多相关历史案例。

• 基于记忆的判定策略
  历史记忆为检测提供指导但不主导推理，核心是通过复用历史交互提升检测效率。研究设计三级判定策略平衡检测速度与可靠性：无匹配（k'=0）时，智能体执行完整 ReAct 推理流程，从头生成推理链；部分匹配（0<k'<k）时，将历史案例作为上下文范例，智能体复用轨迹仅调用补充证据所需工具；完全匹配（k'≥k）时，对历史案例判定结果进行多数投票并直接得出结论。该分层策略可对重复钓鱼模式快速响应，为部分新型案例提供推理指导，对未知攻击开展全面分析。4.2 节消融实验验证了记忆模块各分支的性能贡献，附录相关章节还评估了记忆修剪、遗忘策略，分析了记忆条目有误差时的鲁棒性，并拆解了各分支性能特征。

研究实验

本研究在两个静态数据集上评估 MPA 性能：TR-OP 为人工标注数据集，含 5000 个钓鱼 URL 和 5000 个良性 URL，钓鱼 URL 取自 OpenPhish 并经 2023 年 7-12 月验证，良性 URL 随机抽取自 Tranco 域名榜单前 5 万名；DynaPD 为网站级基准数据集，含 6075 个人工构造、模拟真实攻击的钓鱼站点，以及 6075 个爬取自 Alexa 域名榜单 5000 至 15000 名的良性站点。

选取 PhishLLM、PhishIntention、MLLM 三款代表性基线模型对比。其中 PhishLLM 和 PhishIntention 优化了基于参考列表的方法，通过 LLM 提取品牌信息、识别窃取凭证意图并验证品牌 - 域名一致性；MLLM 由视觉 LLM 从截图提取品牌信号，再经另一 LLM 融合视觉与 URL 特征完成最终判定。

实验结果与分析

1. 有效性与检测效率
   表 1 显示，MPA 在两个数据集上的召回率和 F1 值均显著优于所有基线模型。在 TR-OP 上，其召回率提升约 13% 且准确率、F1 值同步优化，证明性能提升源于更强的证据聚合能力，而非过度标记；在 DynaPD 上，MPA 召回率达 93.6%、F1 值居首，大幅超越易漏检阳性样本的单轮提示词和固定流程基线模型。本研究优先优化召回率，因 MPA 实际部署中无真实标签参考，候选 URL 由第三方验证，漏检钓鱼 URL 的代价远高于复核额外可疑 URL，且需在高召回率与可管理的复核数量间平衡。整体结果证实，MPA 在不同基准场景下均能可靠检测钓鱼网站。

2. 多模态智能体架构的必要性
   将 MPA