系统:运行中
← 返回所有攻击
SUPPLY CHAIN MEDIUM NEW

幻影抢注:抢注大语言模型凭空生成的网站域名

2026 年 6 月底,Palo Alto 的 Unit 42 将其命名为「幻影抢注」:攻击者抢先注册模型稳定臆造出的不存在域名,从而窃取用户对 AI 推荐链接的信任。

2026-07-14 // 6 min affects: llm-assistants, ai-coding-agents, browser-agents, research-agents

这是什么?

幻影抢注(phantom squatting)是一种供应链攻击手法,由 Palo Alto Networks 的 Unit 42 在 2026 年 6 月底发布的研究中命名(6 月 30 日发布,7 月 1 日被广泛报道)。其核心很简单:大语言模型经常凭空生成并不存在的网址——看起来像是某个真实品牌的门户、API 端点或企业服务 URL——而抢先注册这些臆造域名的攻击者,便继承了用户或智能体对 AI 推荐链接所寄予的全部信任。这里既不需要钓鱼邮件,也不需要恶意广告:推荐来自受害者本就信任的系统。

为衡量其规模,Unit 42 就 913 个涵盖科技、金融、医疗、政府等行业的全球品牌,向两个不同的大语言模型提出了 685,339 个问题。模型共生成约 210 万个链接。其中约 25 万个指向任何人都可注册的未注册域名,另有超过 13,200 个指向威胁情报源早已标记为恶意的地址。

工作原理

该机制源于模型生成文本的方式,而非某个具体产品的漏洞。这些臆造域名并非从训练数据中记忆而来——两个模型的发布时间都早于相关真实恶意站点的出现——因此这些地址来自模型自身的语言模式。这些模式具有一致性:面对相同问题,不同模型经常臆造出相同的假域名;而调高模型的温度参数只会产生更多臆造域名,而非更少。Unit 42 将该手法描述为利用了「大语言模型架构的一种结构性特征,本质上无法通过打补丁修复」。

已注册的幻影域名之所以难以察觉,在于它缺乏历史记录。封锁列表、信誉评分和威胁情报源通常需要一个站点先行为不端一段时间才会将其标记。刚注册的域名没有这样的记录,因此在受信任的助手将链接交给用户或智能体的那一刻,基于信誉的过滤器无从下手。这正是域名版本的 slopsquatting——抢注 AI 编码工具臆造出的假软件包名称——这一模式已被转化为真实恶意软件,如 npm 上的 PhantomRaven 攻击活动。

为何重要

Unit 42 的主动监测发现,攻击者在研究人员首次识别出高优先级臆造域名的 18 至 51 天后将其注册——这确实是一个时间窗口,但更有利于抢先行动者。在一个有据可查的案例中,某邮政电商域名在被攻击者注册的 23 天前即被标记为高风险;攻击者随后部署了一个名为「Montana Empire」的钓鱼套件,实时克隆真实店面,并通过 Telegram 后端窃取卡号、银行转账信息和国民身份数据。耐人寻味的是,残留的项目文件显示操作者是用 AI 编码助手搭建该套件的:攻防双方以同样方式向 AI 提问,抵达了同一个假域名。第二个案例给了防守方 51 天的提前量,之后该域名被包装成像素级完美的品牌克隆,用于推送恶意 Android 应用。

更深层的担忧,是从「人听从了错误建议」转向「系统据此自行采取行动」。随着智能体越来越多地自主打开链接、获取资源,故障点从人的一次点击转移到自主动作——而智能体并不具备人所具有的迟疑本能。

防御

  • 切勿将 AI 建议的 URL 视为权威。 在输入密码或粘贴进代码之前,先对照官方文档或经批准的允许列表核实域名。将模型输出视为未经核实的草稿。
  • 限制智能体访问任意新域名。 禁止 AI 智能体在没有独立检查的情况下自动打开、下载或连接模型生成的链接,并严格限制这些智能体可访问的凭据和数据。
  • 监测模型所预测的域名。 由于臆造具有一致性,防守方可以梳理出模型针对自身品牌稳定生成的假域名并监视其注册情况——往往能提前数周——进而抢先注册或封锁风险最高的名称。
  • 将 AI 生成的标识符纳入供应链审查。 对模型建议的端点和软件包名称,采用与第三方依赖同等的审查标准。

状态

项目数值(Unit 42,2026 年 6 月 30 日)
分析品牌数913
发出的查询数685,339
生成的链接数约 210 万
未注册的臆造域名约 25 万
已被标记为恶意>13,200
观测到的注册提前量18 至 51 天
有据可查的案例「Montana Empire」钓鱼套件;恶意 Android 应用
根本原因大语言模型的结构性臆造——无产品补丁

关键日期:2026 年 6 月 30 日 —— Unit 42 发布幻影抢注研究。2026 年 3 月 8 日 —— 一个高风险邮政域名被预测;2026 年 3 月 31 日 —— 攻击者将其注册用于「Montana Empire」套件。

Sources