Palo Alto Networks Unit 42 於 6 月 30 日發布研究報告,揭露一種利用大型語言模型(LLM)「幻覺」特性衍生的新型攻擊手法「幻象域名搶註」(phantom squatting)。
攻擊者搶先註冊由 AI 系統幻覺生成、實際上不存在的域名,藉此攔截被導向這些域名的流量,進而對軟體供應鏈構成新的威脅。
研究規模與發現
Unit 42 研究人員以 913 個全球品牌為樣本,透過兩款不同的 LLM 模型共執行 685,339 次網址查詢,生成約 25 萬個「幻覺域名」;並確認其中超過 13,220 個為與這些品牌相關的惡意網址。
Unit 42 將「域名幻覺」與 LLM 常見的「套件名稱幻覺」相對照:就像模型可能憑空杜撰不存在於任何套件庫的函式庫名稱一樣,它也可能替目標品牌生成虛構的網頁入口、API 端點或企業服務域名。
三條主要攻擊路徑
攻擊者可透過三種途徑利用「幻象域名搶註」:
- AI 程式碼助理生成看似合理、但尚未被註冊的員工福利入口網址,攻擊者搶先註冊。
- AI 研究代理程式(AI research agent)產生看似可信的銀行入口域名,攻擊者預先完成註冊以攔截流量。
- 開發者將 AI 生成的 API 端點整合進程式碼,導致應用程式在不知情下把資料送往攻擊者控制的伺服器。
資安業者 Detectify 的安全工程師暨共同創辦人 Johan Edholm 指出,幻象域名搶註與錯字搶註(typosquatting)雖有關聯,但本質不同:錯字搶註是等待使用者把已知域名輸入錯;幻象域名搶註則是等待模型「憑空生成」一個看似合理的域名,並將使用者引導至該網址。由於這類域名往往落在防禦方平時監控的可預測變體範圍之外,且新註冊域名在初期幾乎沒有信譽紀錄,因此更難被偵測。
Edholm 也指出,其風險在於攻擊鏈相當簡單:先探測模型、找出反覆出現的虛構域名、註冊最具利用價值的名稱,再在背後部署釣魚或惡意內容,最後等待使用者(或日益普及的自主 AI 代理程式)依循模型建議前往。
真實攻擊案例:Montana Empire 釣魚套件
Unit 42 在主動監控高優先幻覺域名時發現,攻擊者通常會在初始識別後 18 至 51 天內陸續完成域名註冊。其中一個案例中,研究人員在某個高風險的郵政電商域名遭註冊前 23 天便已將其標記;該域名後來成為釣魚套件「
Montana Empire」的受害者端網站。
攻擊者使用 AI 程式碼助理建置完整釣魚套件,包括複製合法電商頁面、建構 PHP 後端,並在完成域名註冊前建立以 Telegram 為基礎的命令與控制(C2)架構,最終用於竊取用戶憑證。
Unit 42 也觀察到其他幻象域名搶註案例,攻擊目標包含各國郵政服務等;其手法涵蓋釣魚攻擊與惡意 Android 應用程式。
潛在演進風險與防護建議
Edholm 指出,這類攻擊的危險在於,惡意行為的傳遞機制獲得了「系統信任」背書:惡意推薦不是透過釣魚郵件傳遞,而是由受信任的 AI 助理提出。因此,攻擊者不僅借用了原本必須自行建立的可信度,也繞過了仰賴域名不良信譽觸發的防禦機制。
專家也警告,這個攻擊向量未來可能演進為由 AI 代理程式自動執行整條攻擊鏈,幾乎不再需要人為點擊;攻擊鏈的失效點也將從「人類遵循錯誤建議」,轉移為「系統代替人類做出並執行決策」。
在防護上,建議組織建立網址驗證機制,將網址與權威文件或核准允許清單比對,避免 AI 代理程式自由連線至任何新域名;同時,應嚴格限制 AI 系統可存取的憑證與資料範圍。在模型「自信推薦」與系統「實際執行動作」之間,必須設立獨立的驗證關卡。
本文轉載自 DarkReading。