網絡釣魚攻擊正以前所未有的速度演化。AI 武裝下的釣魚攻擊正在讓傳統防御失效，人為漏洞成為核心癥結，企業面臨的挑戰不僅是技術問題，更是員工行為和安全文化問題。

KnowBe4 發布的《 2025 年網絡釣魚行業基準報告》顯示，通過 KnowBe4 的持續安全培訓與模擬釣魚， 企業釣魚易中率從33.1%下降至4.1%，極大提高員工安全意識，將“人”打造成企業最強“防火墻”。

數據概覽

“全球三分之一的員工仍在點擊釣魚鏈接”

作為全球最大安全意識培訓平臺，KnowBe4 長期跟蹤釣魚趨勢，通過 1451 萬用戶、62,460 家組織和 6770 萬次模擬釣魚測試 的數據生成《2025 年網絡釣魚行業基準報告》，為企業提供最權威的釣魚易中率（Phish-Prone Percentage, PPP）和風險洞察。

報告顯示，全球平均首測失敗率仍高達 33.1%。面對AI武裝的釣魚攻擊，傳統技術防線頻頻失守。安全問題的薄弱環節在于“人”，破局之道同樣在于“人”。

一、嚴峻挑戰：AI 武裝下的釣魚攻擊

正在讓傳統防御失效

釣魚郵件包括假冒內部郵件、偽裝為重要通知或財務審批等類型，隨著 AI 的加入，釣魚軟件更加逼真、更難檢測。此外，商業電子郵件泄露（BEC）、數字化轉型等問題，進一步增加了企業面臨的釣魚風險。

KnowBe4 最新網絡釣魚威脅趨勢報告指出，網絡釣魚攻擊的規模和復雜程度持續增加，部分傳統防御機制在未來2年內可能失效。

數量激增：網絡釣魚郵件總量增長17.3%。

速度極快：員工從收到郵件到點擊惡意鏈接，平均僅需 21 秒。

穿透力強：繞過 Microsoft 原生防御和安全郵箱網關 (SEG) 的攻擊增長 47%。

AI 武裝：在最近六個月，82.6% 的釣魚郵件使用了 AI 技術。

二、核心洞察：觸目驚心的首測失敗率

基于首輪模擬釣魚測試，全行業的網絡釣魚易中率 （PPP） 基線為 33.1%，這意味著，未經任何安全意識培訓（SAT）之前，每3名員工中就有1名可能受到網絡釣魚和社會工程攻擊。其中，醫療、保險、零售等高風險行業和大規模企業的首測失敗率遠遠高于平均值，員工安全意識亟待提高。

高危行業凸顯：信息敏感與交互密集行業風險最高

醫療與制藥：41.9%

保險：39.2%

零售與批發：36.5%

企業規模效應：組織越大，集體安全意識提升越難

超大型企業（員工數＞10,000名）：40.5％

大型企業（員工數1,000-9,999名）：33.7%

中型企業（員工數250-999名）：28.7%

小型企業（員工數＜250名）：24.6%

三、破局之道：持續培訓+AI 反制，

KnowBe4 打造堅不可摧的“人防火墻”

通過持續的模擬釣魚培訓，KnowBe4 發現釣魚風險不僅可以顯著降低，還能長期維持在低位。以亞太地區為例，KnowBe4 《2025 年網絡釣魚行業基準報告》指出，亞太地區首測失敗率高達28.6%，然而經過1年的培訓后下降至5.4%，釣魚郵件的點擊率降低了81.8%。

培訓效果在全球范圍內也得到了證實：12個月的安全意識培訓后，各行業的平均PPP下降86%至4.1%。可喜的是，這種下降趨勢還將長期持續——持續培訓2年后，平均PPP下降至3.7%，三年后下降至3.6%。各行各業都出現了這種下降趨勢（聯系我們獲取完整報告）。

企業培訓效果

超大型企業（10,000+人）

基線 PPP（首測失敗率）：

40.5%

平均改進率（SAT 一年后）：

87%

高風險行業（基線 PPP≥30%）：

醫療與制藥（53.6%）、保險（53%）、非盈利（49.2%）、零售與批發（47%）

SAT 一年后高風險行業 PPP：

醫療與制藥（5.3%）、保險（7%）、非盈利（6%）、零售與批發（4.7%）

大型企業（1,000-10,000人）

基線 PPP（首測失敗率）：

33.7%

平均改進率（SAT 一年后）：

87%

高風險行業（基線 PPP≥30%）：

醫療與制藥（41.1%）、銀行（39.5%）、金融服務（38.4%）、能源與公用事業（37.2%）

SAT 一年后高風險行業 PPP：

醫療與制藥（3.7%）、銀行（4.1%）、金融服務（4.8%）、能源與公用事業（3.9%）

中型企業（250-999人）

基線 PPP（首測失敗率）：

28.7%

平均改進率（SAT 一年后）：

86%

高風險行業（基線 PPP≥30%）：

非營利（31.7%）、保險（31.6%）、醫療與制藥（31.4%）、建筑（31.5%）

SAT 一年后高風險行業 PPP：

非營利（4.5%）、保險（5.1%）、醫療與制藥（4.5%）、建筑（3.5%）

小型企業（1-249人）

基線 PPP（首測失敗率）：

24.6%

平均改進率（SAT 一年后）：

85%

高風險行業（基線 PPP≥30%）：

非營利（27.5%）、醫療與制藥（26.9%）、教育（26.6%）、零售與批發（26.5%）

SAT 一年后高風險行業 PPP：

非營利（4.3%）、醫療與制藥（4.5%）、教育（3.5%）、零售與批發（3.9%）

數據說明

大型企業培訓資源豐富，改進幅度顯著；中小型企業則需要依靠工具和自動化模板來彌補培訓覆蓋不足。

基線 PPP 越高，表示首測（未經培訓）時點擊釣魚鏈接的風險越大

平均改進率為持續 12 個月培訓后的整體效果

高風險行業指基線PPP較高的行業，小型企業以25%為準

KnowBe4 解決方案的價值體現

01 持續培訓與模擬釣魚

通過持續 12 個月的培訓，全球 PPP 從 33% 降至 6%

亞太地區 PPP 從 28.6% 降至 5.2%

大幅度降低員工點擊惡意鏈接的風險，提高整體安全防護水平

02 多語言與自動化模板更新

支持跨境團隊多語言培訓，覆蓋多種表達形式與安全場景

自動生成最新釣魚場景模板，快速覆蓋新興攻擊手法

03 AI 場景生成

生成更逼真、更具針對性的釣魚模擬

提升員工識別能力，使培訓與現實攻擊高度匹配

四、KnowBe4 使“最大風險”變成“最強防線”

降低網絡釣魚風險不僅是技術問題，更是有效的人力風險管理 (HRM) 的核心。KnowBe4 總結出高首測失敗率背后的4大“人為漏洞”：

1 員工安全意識參差不齊

很多員工未經過系統化培訓，面對網絡釣魚和社會工程攻擊手法缺乏警惕性。

2 培訓周期與覆蓋率不足

新入職員工和跨境團隊容易被遺漏，安全意識培訓無法形成閉環。

3 高風險行業特點明顯

制造業：供應鏈環節復雜，內部流程容易被利用

金融業：合規壓力大，員工頻繁處理敏感信息

4 國內企業的特有挑戰

信創替代系統下培訓適配問題

跨境員工和多語言團隊培訓難度大

缺少本地化釣魚模板和場景案例

然而，正是這些“人為漏洞”，揭示了網絡安全投資的最高回報所在。 當您為員工安全意識投資，正是在將企業安全鏈條中最不可控的一環，轉化為一道能夠動態進化、自主判斷的“人防火墻”。即使在高超的技術攻擊面前，這道防線也能憑借警惕性、判斷力和規范的處置流程，讓攻擊功虧一簣。

安全從意識開始，治理從員工行為入手

想進一步了解各行業數據，或申請 KnowBe4 《2025 年網絡釣魚行業基準報告》報告和演示，請聯系艾體寶團隊。我們將提供本地化技術支持與專業部署建議，助力企業建立堅實的網絡安全防線。

KnowBe4

KnowBe4 是世界上最大的安全意識培訓和模擬網絡釣魚平臺，全球有65000多家組織在使用該平臺。艾體寶 KnowBe4 將“人的因素”加入企業安全體系，利用持續的安全意識培訓和真實釣魚模擬，幫助員工建立主動防范意識，降低因人為失誤帶來的風險，全面提升網絡安全水平。

審核編輯 黃宇