Novinky

Phantom squatting: útočníci registrují domény, které si AI modely vymyslely

Novinky Date: Zobrazení: 14

Phantom squatting: útočníci registrují domény, které si AI modely vymyslely

Velké jazykové modely mají známou slabinu: halucinují. Vedle smyšlených faktů si vymýšlejí i webové adresy, které nikdy neexistovaly. Výzkumný tým Unit 42 společnosti Palo Alto Networks nyní zdokumentoval, že útočníci tuto vlastnost začali systematicky zneužívat. Techniku pojmenovali phantom squatting: útočník zaregistruje doménu, kterou si AI model vymyslel, a umístí na ni phishingovou stránku. Návštěvníky mu pak přivádí samotný AI nástroj, kterému uživatelé důvěřují – bez phishingového e-mailu, bez zaplacené reklamy.

Rozsah problému výzkumníci změřili experimentem. Dvěma AI modelům položili 685 339 dotazů týkajících se 913 známých značek z technologického sektoru, financí, zdravotnictví, veřejné správy a dalších oblastí. Modely vygenerovaly 2,1 milionu odkazů. Z nich 13 229 už threat intelligence evidovala jako prokazatelně škodlivé – modely tedy uživatelům podsouvaly známé nebezpečné adresy. A přibližně 250 000 vymyšlených domén nemělo žádného vlastníka. Každá z nich je připraveným cílem pro toho, kdo ji zaregistruje jako první.

Technika funguje proto, že čerstvě registrovaná doména nemá žádnou reputaci. Blocklisty a reputační skóre potřebují, aby se web nejprve nějakou dobu choval podezřele – nová phantom doména žádnou takovou historii nemá, takže filtry nemají co zachytit. Než se dorovnají, oběť už na stránce dávno byla, poslána nástrojem, kterému věří.

Dvě zjištění situaci dále zhoršují. Vymyšlené domény nepocházejí z trénovacích dat – oba testované modely vznikly dříve, než skutečné škodlivé weby existovaly. Adresy tedy plynou z jazykových vzorců samotných modelů. A tyto vzorce jsou konzistentní: různé modely si na stejný dotaz často vymyslí stejnou neexistující doménu. Útočník proto dokáže odhadnout, jakou adresu si model vymyslí příště, a zaregistrovat ji s předstihem.

Image

Unit 42 popisuje dva případy z praxe. V březnu 2026 systém výzkumníků předpověděl, že AI modely budou generovat doménu připomínající online tržiště národní poštovní služby. O 23 dní později útočník přesně tuto doménu zaregistroval a nasadil na ni phishingovou sadu pojmenovanou Montana Empire, která v reálném čase kopírovala skutečný obchod a kradla čísla karet, údaje o bankovních převodech i národní identifikační údaje. Pikantní detail: zbylé projektové soubory prozradily, že si útočník sadu nechal napsat AI kódovacím asistentem. Útočník i obránce tak došli ke stejné falešné doméně stejnou cestou – dotazem na AI. Ve druhém případě výzkumníci označili halucinovanou doménu poštovní služby celých 51 dní předtím, než ji útočník zaregistroval a využil k šíření škodlivé aplikace pro Android, ozdobené falešným hodnocením 4,8 hvězdičky.

Phantom squatting je doménovou obdobou takzvaného slopsquattingu, kdy útočníci registrují neexistující názvy softwarových balíčků, které si vymýšlejí AI kódovací nástroje. Ani to není hypotéza – kampaň PhantomRaven loni ukryla malware do 126 npm balíčků s více než 86 000 instalacemi. Společný jmenovatel je zřejmý: výstup AI modelu se stává vstupem dalších systémů a lidí, kteří jednají dřív, než kdokoli odkaz či název ověří.

Obrana má dvě roviny. Bezpečnostní týmy mohou konzistentní halucinace obrátit ve svůj prospěch: zmapovat, jaké domény si model pro jejich značku vymýšlí, a hlídat, zda si je někdo neregistruje – často s náskokem týdnů. Pro běžné uživatele a firmy platí jednodušší pravidla. Odkazu nelze věřit jen proto, že ho vygenerovala AI; před zadáním hesla nebo vložením adresy do kódu je třeba ověřit, že jde o skutečnou oficiální doménu. AI agenti by neměli automaticky otevírat ani stahovat obsah z vygenerovaných odkazů bez kontroly – agent nemá instinkt zaváhat. A cokoli model napíše, je neověřený koncept, nikoli autorita.

Další články