Коротко
Исследователи Unit 42 из Palo Alto Networks описали новый класс атак на цепочку поставок ПО: злоумышленники заранее регистрируют несуществующие, но правдоподобные домены, которые языковые модели уверенно генерируют вместо реальных адресов брендов.
Подразделение Unit 42 компании Palo Alto Networks представило отчёт о новом векторе атак, основанном на склонности больших языковых моделей к галлюцинациям. LLM регулярно выдают несуществующие, но правдоподобные URL реальных брендов, сервисов и API — и атакующие научились «занимать» такие адреса до их официальной регистрации.
Этот подход получил название phantom squatting («призрачный киберсквоттинг»). Модель сама формирует пространство потенциальных доменных имён, а злоумышленнику остаётся картографировать наиболее вероятные варианты и зарегистрировать их заранее. В результате домен изначально выглядит легитимным для ИИ, но уже контролируется хакерами.
Исследователи протестировали две LLM на массиве из 913 глобальных брендов, выполнив более 685 тысяч запросов. В ответ модели сгенерировали около 2,1 млн URL, из которых более 809 тысяч оказались несуществующими доменами. После нормализации это дало примерно 250 тысяч уникальных потенциально регистрируемых «фантомных» доменов.
Ключевая особенность — системность ошибок. LLM воспроизводят похожие доменные паттерны для одних и тех же брендов, формируя предсказуемую «поверхность галлюцинаций», которую можно заранее картографировать.
В отчёте описан случай с фишинговым набором Montana Empire: исследователи предсказали домен за 23 дня до его фактической регистрации злоумышленником, который также использовал ИИ-инструменты для разработки панели управления фишингом.
Зафиксирован и более длинный цикл — 51 день: фантомный домен был сгенерирован моделью, взят под мониторинг, а затем зарегистрирован и задействован для фишинга с поддельным мобильным приложением, имитировавшим сервис национальной почтовой доставки.
Из 2,1 млн URL в выборке:
Традиционные системы опираются на историю домена: дату регистрации, репутацию, связанные инциденты. Фантомные домены изначально «чистые» — они создаются не как реальная инфраструктура, а как продукт генерации LLM, и не попадают в классические базы.
Особую угрозу создаёт интеграция ИИ в корпоративную разработку. Если LLM-ассистент предлагает URL для API, webhook или стороннего сервиса, адрес может оказаться полностью вымышленным. В CI/CD-конвейерах такие ссылки могут срабатывать автоматически — без участия человека.
Авторы подчёркивают, что атака особенно опасна в агентных ИИ-системах, которые не только предлагают ссылки, но и автоматически их вызывают. Компрометация происходит без классического фишинга — достаточно того, что модель сгенерировала и выполнила запрос.
В качестве защиты предлагается проактивный мониторинг «поверхности галлюцинаций»: отслеживание доменов, которые регулярно генерируют модели, до того как их зарегистрируют злоумышленники.
Источник: iXBT.com