扫描 QR 码之前，请先确认它已通过验证。

QR 钓鱼是 QR 码钓鱼：攻击者打印、贴纸、电子邮件或私信发送一个 QR 码，当扫描时会打开凭证收集页面、钱包窃取交易、开放 WiFi 陷阱或 Android 意图，从而侧载恶意软件。QR 本身只是一个图像，因此直到受害者手机已打开目标链接之前，电子邮件链接过滤器和浏览器警告都不会看到它。防御必须在扫描时发生，手机在跟随链接之前。

三个不同之处。攻击向量是物理或视觉上的，例如覆盖在停车计时器QR码上的贴纸、伪装成多因素认证注册的印刷传单、餐厅菜单QR码在夜间被替换，因此完全绕过电子邮件网关。受害者比信任电子邮件中的链接更信任QR码；QR码感觉像是由打印表面的人选择的目的地。此外，通过短链接路由的动态QR码在印刷资产分发后可以被重新指向钓鱼目的地，因此在印刷时安全的QR码可能在数月后变得危险。静态链接扫描仪回答的是“这个URL现在是否恶意”，而不是“谁可以更改这个链接指向的位置”。

不要用手机原生相机对准它，这样会立即打开目标地址。相反，应在手机上打开check.qr.abundera.ai，通过页面内相机扫描QR码（解码在本地进行；图像不会离开您的设备），然后查看判断结果。我们追踪每个重定向跳转，分类判断QR码打印后目标是否可被第三方控制，并与Google Safe Browsing和其他聚合器进行声誉检查。已清除的判断结果是安全的；注意和不要继续的判断结果会告诉您原因。

覆盖在合法QR码上的停车计时器和电动汽车充电器贴纸，其中一张指向信用卡收集页面，这是2024-2025年报告最多的模式，已在奥斯汀、圣安东尼奥和英国各地观察到。餐厅菜单QR码被攻击者通过物理更换桌牌，一夜之间替换为钓鱼页面。办公室洗手间内看似官方的多因素认证注册传单，实则注册攻击者的设备。婚礼邀请函QR码在活动数月前被分发，短链接账户被入侵后，攻击者可重新指向数千张印刷卡片。销售终端上的加密支付QR码被覆盖为攻击者的钱包地址。共同点是：印刷的QR码看起来与安全的QR码完全相同。

现有工具分类判断URL当前是否恶意。我们还分类判断QR码打印后目标是否可被第三方控制，我们称之为可变性。一个通过短链接路由的干净动态QR码对于停车计时器贴纸或婚礼邀请函仍然是高风险：短链接账户持有者可以随时更改目标。我们将这种控制态势作为与威胁内容判断同等重要的判断字段进行展示。

不会。解码后的负载通过HTTPS传输到我们的服务器，以便我们追踪链路并查询声誉数据库，这是功能上的必要，而非选择，但数据绝不会被存储。判断结果通过负载类型判别器的SHA-256哈希值与服务器持有的秘密盐值拼接后进行缓存。原始负载无法从任何缓存条目中重建。

qr.abundera.ai 是一个承诺所有操作都在客户端完成的生成器：设备上不会留下任何数据。这个安全检查器出于必要性将解码后的有效载荷传输到服务器。我们分离了两个界面，使生成器域名上的客户端唯一承诺保持干净，而反隐私模型界面在此处明确标注。

专业版。提交一个 QR 用于跟踪，我们将定期重新追踪链路。当重定向目标、终端目的地或间接服务运营商集合发生变化时发送电子邮件。这能捕捉最常见的实际钓鱼模式：打印一个干净的 QR，数月后将目标切换为钓鱼网站，从打印的资产中收集扫描信息。

是的，在Pro层级。API是RESTful的，返回结构化的JSON判断结果，包含负载类型、威胁类别、可变性、重定向链、每跳控制归属以及子负载发现。专为嵌入钱包应用、移动安全套件、企业URL过滤以及公司Slack/Teams链接预览增强器而设计。

目前暂不提供。分类器在相关专利申请期间为闭源。在专利授权后，我们可能会发布已披露算法的参考实现。API 接口是公开且稳定的。