LLM придумали 250 тысяч доменов-призраков, и хакеры уже заняли часть из них

Исследователи Unit 42 из Palo Alto Networks описали схему, которая выросла прямо из галлюцинаций больших языковых моделей. LLM регулярно выдумывают правдоподобные адреса сайтов для брендов, API и сервисов, а злоумышленники уже начали регистрировать такие домены заранее, чтобы перехватывать трафик, логины и запросы от ИИ-агентов. У этой истории есть и название: phantom squatting, или «призрачный киберсквоттинг».
Сама схема довольно простая. Модель уверенно предлагает адрес, который выглядит как официальный ресурс компании, хотя такого домена на самом деле никогда не было. Если его успел занять атакующий, он получает почти идеальную площадку: домен выглядит «чистым», в защитных базах у него нет плохой истории, а в подсказках ИИ он уже успел появиться.
В Unit 42 проверили две LLM на массиве из 913 глобальных брендов и отправили больше 685 тысяч запросов. Модели сгенерировали около 2,1 млн URL. Из них свыше 809 тысяч вели на несуществующие домены, а после нормализации исследователи получили примерно 250 тысяч уникальных адресов, которые можно было бы зарегистрировать. Около 0,61% всей выборки уже были связаны с вредоносной активностью — фишингом, раздачей малвари и инфраструктурой управления ботнетами.
Самое неприятное тут не количество ошибок, а то, как они повторяются. LLM снова и снова воспроизводят похожие доменные шаблоны для одних и тех же брендов. Получается вполне предсказуемая «поверхность галлюцинаций». Это уже не случайная опечатка в чате, а почти готовая карта будущих целей, которую можно спокойно собирать и отслеживать.
В отчёте есть и конкретные эпизоды. Один из доменов, который потом использовали в фишинговом наборе Montana Empire, исследователи предсказали за 23 дня до регистрации. В другом случае между предсказанием и реальным использованием фантомного домена прошло 51 день: адрес успели добавить в мониторинг, а потом он всплыл в фишинговой схеме с поддельным мобильным приложением, имитирующим национальную почтовую службу.
Фантомный киберсквоттинг выходит за рамки фишинга
Тут ломается привычная схема доверия к доменам. Классические системы защиты смотрят на возраст адреса, историю инцидентов и репутацию. У фантомного домена всего этого нет: он появляется как побочный продукт генерации LLM, а не как давно известная мошенническая площадка. Для фильтров это новый объект, и формально он выглядит чистым.
Особенно плохо это сочетается с автоматизацией разработки. Если ИИ-ассистент подсовывает разработчику URL для API, webhook или внешнего сервиса, адрес может оказаться полностью вымышленным. Вручную такую ошибку ещё можно заметить. В CI/CD-конвейере, где часть шагов выполняется автоматически, ссылка легко проходит дальше по цепочке и превращается в утечку данных или вызов чужого сервиса.
Здесь есть прямое сходство с атакой dependency confusion. В 2021 году исследователь Алекс Бирсан показал, как системы сборки могут подтягивать внешние пакеты вместо внутренних зависимостей крупных компаний. Тогда точкой входа были имена библиотек. Теперь ту же логику начинает повторять доменная зона: если машина «верит» придуманному адресу, атакующему остаётся только успеть зарегистрировать его.
И есть ещё один слой проблемы. За последний год разработчики всё чаще обсуждают package hallucinations — случаи, когда кодовые ассистенты выдумывают несуществующие пакеты для Python или JavaScript. Phantom squatting расширяет эту же историю с уровня библиотек на уровень сетевой инфраструктуры. Для агентных ИИ-систем это особенно неприятно: они умеют не только советовать ссылку, но и сами переходить по ней без участия человека.
На практике это уже выглядит как новый тип атаки без классического письма «ваш аккаунт заблокирован». Достаточно, чтобы модель сгенерировала убедительный адрес, а агент выполнил запрос, отправил токен, скачал файл или подключился к поддельному API. Чем больше таких сценариев появляется, тем быстрее проблема уходит из академической зоны в прикладную. По прогнозу Gartner, к 2028 году агентный ИИ будет задействован примерно в трети корпоративных программных систем, и каждая такая интеграция повышает цену одной «убедительной выдумки».
Защитная мера, которую предлагают в Unit 42, тоже строится на упреждении. Исследователи советуют отслеживать домены, которые LLM генерируют для известных брендов и сервисов, а потом проверять, не появился ли такой адрес в реестрах и сетевом трафике. По их наблюдениям, окно между предсказанием и регистрацией может составлять от 18 до 51 дня. Форой это не назовёшь, но в кибербезопасности и месяц иногда решает.
Для крупных компаний это ещё один повод не пускать ИИ-агентов в продакшен без проверки внешних адресов. OpenAI, Google и Microsoft уже толкают рынок к более самостоятельным ИИ-сценариям, где модели не только отвечают, но и действуют. Чем больше таких систем появится в корпоративных процессах, тем заметнее станет спрос на отдельный класс защиты от доменов, которых вчера не было, а сегодня они уже крадут трафик.



