Phantom squatting: новая атака превращает галлюцинации LLM в ловушки для пользователей

3 мин
Phantom squatting: новая атака превращает галлюцинации LLM в ловушки для пользователей

Исследователи Unit 42, подразделения Palo Alto Networks, описали новый вектор атак — phantom squatting. Языковые модели, отвечая на вопросы о реальных брендах, регулярно выдумывают правдоподобные, но несуществующие адреса: порталы поддержки, страницы входа, api-эндпоинты. Злоумышленники научились извлекать из этого выгоду. Они массово опрашивают модели, собирают повторяющиеся галлюцинации и заранее регистрируют такие домены. Дальше остается только ждать: жертву на вредоносный веб-сайт приводит сам ИИ-ассистент, которому она доверяет.

Чтобы оценить масштаб проблемы, исследователи проанализировали 913 глобальных брендов из сферы технологий, финансов, здравоохранения, e-commerce и других секторов, выполнив 685 339 запросов к двум разным LLM. Модели сгенерировали 2,1 млн уникальных URL. Из них 13 229 уже были помечены системами threat intelligence как вредоносные — то есть модели прямо сейчас рекомендуют пользователям известную вредоносную инфраструктуру. Еще 37% сгенерированных адресов вели на несуществующие домены: после нормализации это дало приблизительно 250 тысяч уникальных "фантомных" доменов, которые никто не зарегистрировал. Каждый из них — готовая цель для атакующего.

Технология наследует логику слопсквоттинга — атак через выдуманные ИИ имена программных пакетов, о которых писал ранее. Разница в том, что phantom squatting переносит идею с пакетов на веб-инфраструктуру: вместо фальшивой библиотеки в npm — фальшивый банковский портал или вебхук для CI/CD-пайплайна. Ключевое свойство обеих атак одно: модели галлюцинируют не случайно, а системно. Разные LLM при разных настройках нередко выдумывают один и тот же адрес сайта для одного и того же бренда, что делает цель предсказуемой.

Самый показательный кейс — фишинг-кит Montana Empire. 8 марта 2026 года пайплайн Unit 42 сгенерировал 13 галлюцинированных URL для домена, похожего на маркетплейс национальной почтовой службы, — обе модели выдавали его даже на минимальной температуре, то есть считали почти фактом. Адрес сайта внесли в список наблюдения, а через 23 дня его зарегистрировал фактический злоумышленник и развернул фишинговый сайт с перехватом карт, банковских переводов и паспортных данных. В файлах кита исследователи нашли директорию проекта ИИ-ассистента для программирования: атакующий собирал инструмент с помощью нейросети. Получился замкнутый цикл — ИИ помог написать атаку, и ИИ же приводит на нее жертв.

Отдельный риск исследователи видят в автономных агентах. Человек, попавший на фишинговую страницу, должен еще совершить действие — ввести пароль или скачать файл. Агент, который сам ходит по ссылкам, скачивает зависимости и дергает api из сгенерированных моделью инструкций, может передать секреты или выполнить вредоносный код вообще без участия человека. Одновременно свежезарегистрированный фантомный адрес сайта "рождается чистым": у него нет истории, репутации и записей в блоклистах, следовательно классические репутационные фильтры его пропускают.

Впрочем, у предсказуемости галлюцинаций есть и обратная сторона, выгодная защитникам. Раз модели стабильно выдумывают одни и те же домены, карту будущих атак можно построить заранее. Пайплайн Unit 42 предсказывал появление вредоносных доменов за 18–51 день до их регистрации злоумышленниками — этого времени достаточно, чтобы внести адрес в список наблюдения или защитно зарегистрировать его на себя.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.

Читают сейчас

В честь 250-летия США создали капсулу времени с iPhone 17 Pro Max, фото от НАСА и предсказанием от Claude

12 минут назад

В честь 250-летия США создали капсулу времени с iPhone 17 Pro Max, фото от НАСА и предсказанием от Claude

В честь 250-летия США проект America250 создала капсулу времени с iPhone 17 Pro Max, фото от НАСА и предсказанием чат-бота Claude. Цилиндр из нержавеющей стали весом 400 кг установили в землю 4 июля н

Microsoft прекращает поддержку ряда сервисов SharePoint

17 минут назад

Microsoft прекращает поддержку ряда сервисов SharePoint

Microsoft недавно переработала SharePoint, уделяя больше внимания интегрированным функциям искусственного интеллекта и рабочим процессам. Теперь организация объявила о прекращении поддержки ряда его с

Amazon прекратит принимать новых клиентов на платформу Mechanical Turk

27 минут назад

Amazon прекратит принимать новых клиентов на платформу Mechanical Turk

Amazon не будет принимать новых клиентов на платформу Mechanical Turk c 30 июля 2026 года. Её функциональность сохранится, но обновления внедряться не будут. Ознакомиться далее

Сотни людей поддержали защиту инженера по обвинению в уничтожении камер Flock

47 минут назад

Сотни людей поддержали защиту инженера по обвинению в уничтожении камер Flock

Сотни защитников свободы объединились для поддержки инженера ВВС США, обвиняемого в том, что год назад он снёс более десятка камер видеонаблюдения Flock со встроенным искусственным интеллектом. Ознако

Инфостарт обсуждает развитие 1С-систем для промышленности на ИННОПРОМ-2026

56 минут назад

Инфостарт обсуждает развитие 1С-систем для промышленности на ИННОПРОМ-2026

Сегодня, 6 июля в Екатеринбурге стартовала международная промышленная выставка ИННОПРОМ-2026. Компания Инфостарт принимает участие в выставке и проводит встречи с представителями промышленных предприя