Исследовательское подразделение Unit 42 компании Palo Alto Networks описало новый класс атак, связанный с особенностью больших языковых моделей (LLM) — они регулярно «галлюцинируют» и уверенно создают несуществующие, но правдоподобные адреса сайтов реальных брендов. По данным отчёта, злоумышленники уже начали регистрировать такие домены заранее, чтобы перехватывать потенциальный трафик, который генерируют ИИ-системы и их пользователи.
Этот подход получил название phantom squatting («призрачный киберсквоттинг»). Его суть в том, что модель сама создаёт пространство потенциальных доменных имён для брендов, сервисов или API, а атакующий просто «занимает» наиболее правдоподобные из них до того, как они будут кем-либо официально зарегистрированы. В результате домен изначально выглядит легитимным для ИИ, но уже контролируется злоумышленниками.
Исследователи проанализировали работу двух моделей LLM на массиве из 913 глобальных брендов, выполнив более 685 тысяч запросов. В ответ они получили около 2,1 млн сгенерированных URL, из которых более 809 тысяч оказались несуществующими доменами. После нормализации это дало примерно 250 тысяч уникальных потенциально регистрируемых «фантомных» доменов. Часть из них уже была признана вредоносной или подозрительной.
Ключевая особенность явления в том, что LLM не просто ошибаются — они системно воспроизводят похожие доменные паттерны для одних и тех же брендов. Это создаёт предсказуемую «поверхность галлюцинаций», которую можно заранее картографировать и использовать как список будущих целей для регистрации.
Изображение сгенерировано: Nano Banana
В отчёте приводится случай, где атакующий использовал ИИ-ассистента для создания фишингового набора под названием Montana Empire. Этот набор был развёрнут на домене, который исследователи предсказали за 23 дня до его фактической регистрации. По данным анализа, злоумышленник также использовал ИИ-инструменты для разработки панели управления фишингом и инфраструктуры перехвата учётных данных.
Дополнительно зафиксирован более длинный цикл в 51 день, когда фантомный домен был сначала сгенерирован моделью, затем добавлен в мониторинг, и только спустя почти 2 месяца зарегистрирован и использован для фишинга с поддельным мобильным приложением, имитирующим сервис национальной почтовой доставки.
Исследователи также показывают, что проблема не ограничивается отдельными случаями. В выборке из 2,1 млн URL около 0,61% уже были связаны с вредоносной активностью, включая фишинг, вредоносные загрузки и инфраструктуру управления ботнетами. Ещё примерно 37% ссылок вообще вели на несуществующие домены, а около 250 тысяч уникальных доменных имён потенциально могут быть зарегистрированы заранее атакующими.
Ключевой риск заключается в изменении модели доверия. Традиционные системы защиты полагаются на историю домена: когда он был зарегистрирован, какие инциденты с ним связаны, есть ли репутация. Однако фантомные домены изначально «чистые» — они создаются не как реальная инфраструктура, а как продукт генерации LLM, и потому не попадают в классические базы.
Отдельную угрозу создаёт интеграция ИИ в корпоративные процессы разработки. Если LLM-ассистент предлагает разработчику URL для API, webhook или стороннего сервиса, этот адрес может оказаться полностью вымышленным. В CI/CD-конвейерах такие ссылки могут быть использованы автоматически, что создаёт риск утечки данных или внедрения вредоносных сервисов без участия человека.
Авторы отчёта подчёркивают, что атака становится особенно опасной в агентных ИИ-системах, которые могут не только предлагать ссылки, но и автоматически их вызывать. В этом случае компрометация происходит без классического фишинга — достаточно того, что модель сгенерировала и выполнила запрос.
В качестве меры защиты предлагается проактивный мониторинг «поверхности галлюцинаций» — отслеживание доменов, которые регулярно генерируют LLM, с последующей проверкой их регистрации и появления в сети. Такой подход позволяет получить временное преимущество: исследователи фиксируют, что между моментом предсказания домена и его фактической регистрацией может проходить от 18 до 51 дня.
Авторы отчёта называют этот интервал «adversarial exploitation window» — период, когда домен уже известен защитникам, но ещё не зарегистрирован атакующими. Однако они подчёркивают, что этот зазор не гарантирован и может исчезать при более быстрых атаках.
© iXBT

5 дней назад
3









English (US) ·
Russian (RU) ·