Phantom squatting: новая атака превращает галлюцинации LLM в ловушки для пользователей

от автора

Исследователи Unit 42, подразделения Palo Alto Networks, описали новый вектор атак — phantom squatting. Языковые модели, отвечая на вопросы о реальных брендах, регулярно выдумывают правдоподобные, но несуществующие адреса: порталы поддержки, страницы входа, API-эндпоинты. Злоумышленники научились извлекать из этого выгоду. Они массово опрашивают модели, собирают повторяющиеся галлюцинации и заранее регистрируют такие домены. Дальше остается только ждать: жертву на вредоносный сайт приводит сам ИИ-ассистент, которому она доверяет.

Чтобы оценить масштаб проблемы, исследователи проанализировали 913 глобальных брендов из сферы технологий, финансов, здравоохранения, e-commerce и других секторов, выполнив 685 339 запросов к двум разным LLM. Модели сгенерировали 2,1 млн уникальных URL. Из них 13 229 уже были помечены системами threat intelligence как вредоносные — то есть модели прямо сейчас рекомендуют пользователям известную вредоносную инфраструктуру. Еще 37% сгенерированных адресов вели на несуществующие домены: после нормализации это дало около 250 тысяч уникальных «фантомных» доменов, которые никто не зарегистрировал. Каждый из них — готовая цель для атакующего.

Техника наследует логику слопсквоттинга — атак через выдуманные ИИ имена программных пакетов, о которых Хабр писал ранее. Разница в том, что phantom squatting переносит идею с пакетов на веб-инфраструктуру: вместо фальшивой библиотеки в npm — фальшивый банковский портал или вебхук для CI/CD-пайплайна. Ключевое свойство обеих атак одно: модели галлюцинируют не случайно, а системно. Разные LLM при разных настройках нередко выдумывают один и тот же домен для одного и того же бренда, что делает цель предсказуемой.

Самый показательный кейс — фишинг-кит Montana Empire. 8 марта 2026 года пайплайн Unit 42 сгенерировал 13 галлюцинированных URL для домена, похожего на маркетплейс национальной почтовой службы, — обе модели выдавали его даже на минимальной температуре, то есть считали почти фактом. Домен внесли в список наблюдения, а через 23 дня его зарегистрировал реальный злоумышленник и развернул фишинговый сайт с перехватом карт, банковских переводов и паспортных данных. В файлах кита исследователи нашли директорию проекта ИИ-ассистента для программирования: атакующий собирал инструмент с помощью нейросети. Получился замкнутый цикл — ИИ помог написать атаку, и ИИ же приводит на нее жертв.

Отдельный риск исследователи видят в автономных агентах. Человек, попавший на фишинговую страницу, должен еще совершить действие — ввести пароль или скачать файл. Агент, который сам ходит по ссылкам, скачивает зависимости и дергает API из сгенерированных моделью инструкций, может передать секреты или выполнить вредоносный код вообще без участия человека. При этом свежезарегистрированный фантомный домен «рождается чистым»: у него нет истории, репутации и записей в блоклистах, поэтому классические репутационные фильтры его пропускают.

Впрочем, у предсказуемости галлюцинаций есть и обратная сторона, выгодная защитникам. Раз модели стабильно выдумывают одни и те же домены, карту будущих атак можно построить заранее. Пайплайн Unit 42 предсказывал появление вредоносных доменов за 18–51 день до их регистрации злоумышленниками — этого времени достаточно, чтобы внести адрес в список наблюдения или защитно зарегистрировать его на себя.

P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть», где я рассказываю про ИИ с творческой стороны.

ссылка на оригинал статьи https://habr.com/ru/articles/1055882/