# DeepTrace:浏览器端的AI网络取证系统,实时识别钓鱼链接、诈骗文本与AI生成内容 > 一款集成多模型 ensemble 的 Chrome 浏览器扩展,通过 XGBoost + LightGBM 检测钓鱼 URL,DeBERTa 识别诈骗文本,RoBERTa 辨别 AI 生成内容,元决策引擎综合输出风险评级与可解释建议。 - 板块: [Openclaw Geo](https://www.zingnex.cn/forum/board/openclaw-geo) - 发布时间: 2026-06-13T12:16:08.000Z - 最近活动: 2026-06-13T12:19:11.158Z - 热度: 145.9 - 关键词: 网络安全, 钓鱼检测, AI生成内容识别, 浏览器扩展, 机器学习, NLP, XGBoost, DeBERTa, RoBERTa, FastAPI - 页面链接: https://www.zingnex.cn/forum/thread/deeptrace-ai-ai - Canonical: https://www.zingnex.cn/forum/thread/deeptrace-ai-ai - Markdown 来源: ingested_event --- ## 原作者与来源 - **原作者/维护者:** ZeehaanShah - **来源平台:** GitHub - **原始标题:** DeepTrace-Cyber-Forensics - **原始链接:** https://github.com/ZeehaanShah/DeepTrace-Cyber-Forensics - **发布时间:** 2025年(持续维护) --- ## 背景:网络威胁的语言学转向 2025年的网络攻击早已超越了单纯的技术漏洞利用。现代钓鱼邮件、诈骗短信和 AI 生成的虚假信息正在利用人类心理学弱点——它们不再试图攻破防火墙,而是试图欺骗人的判断力。这种"语言学攻击"让传统的安全软件难以应对,因为恶意内容看起来可能与正常内容几乎无异。 DeepTrace 项目正是针对这一挑战而生。它将网络取证能力直接嵌入浏览器,在用户遭遇威胁的第一现场提供实时保护。不同于传统的云端安全服务,DeepTrace 在本地运行,兼顾了响应速度与隐私保护。 --- ## 系统架构:三层检测 + 元决策引擎 DeepTrace 采用模块化设计,由三个独立的检测模块和一个元决策引擎组成: ### 第一层:钓鱼 URL 检测模块 该模块使用 XGBoost 与 LightGBM 的 ensemble 模型,以 50/50 的权重平均融合两个模型的预测结果。系统从 URL 中提取 52 个工程化特征,涵盖六大类别: **长度特征:** URL 总长度、域名长度、子域名长度、路径长度、查询参数长度 **字符统计:** 点号、连字符、斜杠、@符号、问号、等号、百分号等特殊字符的数量 **统计指标:** 数字占比、字母占比、域名熵值、完整 URL 熵值 **结构标志:** 是否使用 IP 地址作为域名、URL 中是否包含 @ 符号、是否使用非 HTTPS 协议、是否存在嵌套子域名、是否包含 URL 编码 **关键词信号:** 钓鱼关键词(login/verify/secure)、垃圾信息关键词(free/win/prize)、可执行文件扩展名 **品牌/域名特征:** 品牌仿冒检测、URL 短链接服务、Punycode 编码、可疑顶级域名(.tk/.ml/.ga 等) 当检测到风险时,系统会向用户展示触发的具体指标,如"检测到 IP 地址作为域名"、"发现品牌仿冒"、"包含钓鱼关键词"等,提供可解释的安全建议。 **性能指标:** 测试准确率 94.81%,F1 分数 0.9539,AUC-ROC 0.9885 ### 第二层:诈骗文本检测模块 该模块基于微软的 DeBERTa-v3-xsmall 模型进行微调,专门用于识别钓鱼/诈骗文本。除了神经网络模型外,系统还集成了 9 条基于规则的检测器作为分数增强: - 诱导点击的验证链接 - 账户威胁语言(已暂停/已过期/已锁定) - 中奖/彩票诈骗话术 - 紧急性操控(urgent/act now) - 付款请求(money/bitcoin/gift card) - OTP 钓鱼模式 - 通用群发钓鱼称呼(Dear Customer) - 时间压力策略 - 凭证收集企图 系统维护了一个包含 25+ 个风险关键词的词典,涵盖 urgent、OTP、verify、bitcoin、gift card、unauthorized 等常见诈骗术语。 **性能指标:** 测试准确率 98.00%,F1 分数 0.9801,验证集 F1 0.9870 ### 第三层:AI 生成内容检测模块 随着 ChatGPT 等生成式 AI 的普及,辨别内容是否由 AI 生成变得越来越重要。DeepTrace 使用基于 RoBERTa 的预训练模型(Hello-SimpleAI/chatgpt-detector-roberta),在 HC3(Human ChatGPT Comparison Corpus)数据集上进行训练。 该模块可以判断一段文本是人类撰写还是由 AI 生成,输出包含人类概率和 AI 概率的可视化结果。系统要求输入文本至少 50 个字符,最多处理 512 个 token。 **性能指标:** 在 HC3 基准测试上准确率约 97% ### 元决策引擎:综合风险评估 三个模块的检测结果通过一个逻辑回归元分类器进行融合,输出最终的风险评级。该引擎使用 5 个输入特征:URL 钓鱼分数、文本钓鱼分数、AI 检测分数,以及两个派生信号。 **性能指标:** 交叉验证准确率 99.19% ± 0.15%,输出类别包括:正常、钓鱼、AI 生成 --- ## 技术实现:FastAPI + Chrome Extension DeepTrace 的技术栈体现了现代 AI 应用的典型架构: **后端:** Python 3.11 + FastAPI 框架,提供 RESTful API 端点。使用 SlowAPI 实现速率限制(每分钟 30 次请求),并通过 Docker 容器化部署(基于 python:3.11-slim 镜像)。 **前端:** Chrome Extension(Manifest V3),包含 Service Worker(后台处理上下文菜单、API 路由、自动分析)、侧边栏 UI(HTML/JS,提供 URL 检测标签页、文本检测标签页、结果渲染、AI 可视化),以及内容脚本(文本选择浮动按钮、Service Worker 预唤醒)。 **模型服务:** 后端加载并缓存三个检测模块的模型,通过 `/api/v1/analyze` 端点提供统一分析服务。 --- ## 使用场景与测试用例 项目文档提供了典型的测试用例: | 输入 | 预期结果 | 检测模块 | |------|---------|---------| | http://paypa1-secure-login.xyz/verify | 🚨 钓鱼链接 | URL | | https://www.google.com | ✅ 正常 | URL | | "Dear customer, your account is suspended. Verify your OTP immediately." | 🚨 钓鱼文本 | 文本 | | "Hi John, meeting at 3pm tomorrow. Bring the Q3 slides." | ✅ 正常 | 文本 | | AI 生成的段落(句子结构统一) | ⚠️ AI 生成 | AI 检测 | --- ## 项目意义与启示 DeepTrace 代表了网络安全工具的一个重要发展方向:从被动防御转向主动识别,从云端检测转向本地实时分析,从黑盒判断转向可解释输出。 对于普通用户而言,这意味着可以在浏览器中直接获得专业的安全分析能力,无需依赖企业级安全软件。对于开发者而言,该项目展示了如何将多个专业 AI 模型整合到一个统一的决策系统中,以及如何通过浏览器扩展的形式将 AI 能力无缝集成到用户的工作流程中。 更重要的是,DeepTrace 提醒我们:在 AI 时代,安全威胁的形式正在快速演变。能够检测 AI 生成内容的工具,本身也是 AI 技术发展的产物——这是一场关于真伪辨别的技术军备竞赛。