2 часа назад
Phantom squatting: новая атака превращает галлюцинации LLM в ловушки для пользователей


Исследователи Unit 42, подразделения Palo Alto Networks, описали новый вектор атак — phantom squatting. Языковые модели, отвечая на вопросы о реальных брендах, регулярно выдумывают правдоподобные, но несуществующие адреса: порталы поддержки, страницы входа, api-эндпоинты. Злоумышленники научились извлекать из этого выгоду. Они массово опрашивают модели, собирают повторяющиеся галлюцинации и заранее регистрируют такие домены. Дальше остается только ждать: жертву на вредоносный веб-сайт приводит сам ИИ-ассистент, которому она доверяет.
Чтобы оценить масштаб проблемы, исследователи проанализировали 913 глобальных брендов из сферы технологий, финансов, здравоохранения, e-commerce и других секторов, выполнив 685 339 запросов к двум разным LLM. Модели сгенерировали 2,1 млн уникальных URL. Из них 13 229 уже были помечены системами threat intelligence как вредоносные — то есть модели прямо сейчас рекомендуют пользователям известную вредоносную инфраструктуру. Еще 37% сгенерированных адресов вели на несуществующие домены: после нормализации это дало приблизительно 250 тысяч уникальных "фантомных" доменов, которые никто не зарегистрировал. Каждый из них — готовая цель для атакующего.
Технология наследует логику слопсквоттинга — атак через выдуманные ИИ имена программных пакетов, о которых писал ранее. Разница в том, что phantom squatting переносит идею с пакетов на веб-инфраструктуру: вместо фальшивой библиотеки в npm — фальшивый банковский портал или вебхук для CI/CD-пайплайна. Ключевое свойство обеих атак одно: модели галлюцинируют не случайно, а системно. Разные LLM при разных настройках нередко выдумывают один и тот же адрес сайта для одного и того же бренда, что делает цель предсказуемой.
Самый показательный кейс — фишинг-кит Montana Empire. 8 марта 2026 года пайплайн Unit 42 сгенерировал 13 галлюцинированных URL для домена, похожего на маркетплейс национальной почтовой службы, — обе модели выдавали его даже на минимальной температуре, то есть считали почти фактом. Адрес сайта внесли в список наблюдения, а через 23 дня его зарегистрировал фактический злоумышленник и развернул фишинговый сайт с перехватом карт, банковских переводов и паспортных данных. В файлах кита исследователи нашли директорию проекта ИИ-ассистента для программирования: атакующий собирал инструмент с помощью нейросети. Получился замкнутый цикл — ИИ помог написать атаку, и ИИ же приводит на нее жертв.
Отдельный риск исследователи видят в автономных агентах. Человек, попавший на фишинговую страницу, должен еще совершить действие — ввести пароль или скачать файл. Агент, который сам ходит по ссылкам, скачивает зависимости и дергает api из сгенерированных моделью инструкций, может передать секреты или выполнить вредоносный код вообще без участия человека. Одновременно свежезарегистрированный фантомный адрес сайта "рождается чистым": у него нет истории, репутации и записей в блоклистах, следовательно классические репутационные фильтры его пропускают.
Впрочем, у предсказуемости галлюцинаций есть и обратная сторона, выгодная защитникам. Раз модели стабильно выдумывают одни и те же домены, карту будущих атак можно построить заранее. Пайплайн Unit 42 предсказывал появление вредоносных доменов за 18–51 день до их регистрации злоумышленниками — этого времени достаточно, чтобы внести адрес в список наблюдения или защитно зарегистрировать его на себя.
P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.
Читают сейчас

12 минут назад
В честь 250-летия США создали капсулу времени с iPhone 17 Pro Max, фото от НАСА и предсказанием от Claude
В честь 250-летия США проект America250 создала капсулу времени с iPhone 17 Pro Max, фото от НАСА и предсказанием чат-бота Claude. Цилиндр из нержавеющей стали весом 400 кг установили в землю 4 июля н

17 минут назад
Microsoft прекращает поддержку ряда сервисов SharePoint
Microsoft недавно переработала SharePoint, уделяя больше внимания интегрированным функциям искусственного интеллекта и рабочим процессам. Теперь организация объявила о прекращении поддержки ряда его с
27 минут назад
Amazon прекратит принимать новых клиентов на платформу Mechanical Turk
Amazon не будет принимать новых клиентов на платформу Mechanical Turk c 30 июля 2026 года. Её функциональность сохранится, но обновления внедряться не будут. Ознакомиться далее
47 минут назад
Сотни людей поддержали защиту инженера по обвинению в уничтожении камер Flock
Сотни защитников свободы объединились для поддержки инженера ВВС США, обвиняемого в том, что год назад он снёс более десятка камер видеонаблюдения Flock со встроенным искусственным интеллектом. Ознако

56 минут назад
Инфостарт обсуждает развитие 1С-систем для промышленности на ИННОПРОМ-2026
Сегодня, 6 июля в Екатеринбурге стартовала международная промышленная выставка ИННОПРОМ-2026. Компания Инфостарт принимает участие в выставке и проводит встречи с представителями промышленных предприя