Phantom squatting: новая атака превращает галлюцинации LLM в ловушки для пользователей
Исследователи Unit 42, подразделения Palo Alto Networks, описали новый вектор атак — phantom squatting. Языковые модели, отвечая на вопросы о реальных брендах, регулярно выдумывают правдоподобные, но несуществующие адреса: порталы поддержки, страницы входа, API-эндпоинты. Злоумышленники научились извлекать из этого выгоду. Они массово опрашивают модели, собирают повторяющиеся галлюцинации и заранее регистрируют такие домены. Дальше остается только ждать: жертву на вредоносный сайт приводит сам ИИ-ассистент, которому она доверяет.
Чтобы оценить масштаб проблемы, исследователи проанализировали 913 глобальных брендов из сферы технологий, финансов, здравоохранения, e-commerce и других секторов, выполнив 685 339 запросов к двум разным LLM. Модели сгенерировали 2,1 млн уникальных URL. Из них 13 229 уже были помечены системами threat intelligence как вредоносные — то есть модели прямо сейчас рекомендуют пользователям известную вредоносную инфраструктуру. Еще 37% сгенерированных адресов вели на несуществующие домены: после нормализации это дало около 250 тысяч уникальных "фантомных" доменов, которые никто не зарегистрировал. Каждый из них — готовая цель для атакующего.
Техника наследует логику слопсквоттинга — атак через выдуманные ИИ имена программных пакетов, о которых Хабр писал ранее. Разница в том, что phantom squatting переносит идею с пакетов на веб-инфраструктуру: вместо фальшивой библиотеки в npm — фальшивый банковский портал или вебхук для CI/CD-пайплайна. Ключевое свойство обеих атак одно: модели галлюцинируют не случайно, а системно. Разные LLM при разных настройках нередко выдумывают один и тот же домен для одного и того же бренда, что делает цель предсказуемой.
Самый показательный кейс — фишинг-кит Montana Empire. 8
Читать на habr.com