文章总结: 本文介绍了一种利用AI大语言模型(LLM)幻觉特性的新型网络攻击方式——幻影域名抢注(PhantomSquatting)。攻击者通过系统性地探测模型,生成并抢注那些由AI凭空编造但听起来真实的虚假域名,将其变为软件供应链攻击的入口。这种攻击能够绕过传统的安全防护系统,因为这些新注册的域名在初始阶段没有任何恶意记录。文章详细分析了攻击的四个阶段:探测、注册、引流和绕过,并通过研究数据揭示了不同AI模型和参数下幻觉域名的生成情况及恶意URL的占比。此外,文章还强调了智能体AI工作流和开发者工具等场景下的高风险,并提出主动测绘和提前监控是应对该威胁的有效防御模式。 综合评分: 90 文章分类: 网络安全,软件供应链,恶意软件,钓鱼攻击,安全运营
AI 凭空编出的假域名,正在成为软件供应链的新陷阱
原创
黑鸟 黑鸟
黑鸟
2026年7月1日 23:37 新加坡
在小说阅读器读本章
去阅读
不知道你有没有过这种经历,查某个品牌的官方接口、找一份技术文档,懒得翻官网,直接丢给 AI 助手要链接。拿到结果看着像模像样,顺手就点了进去,或者直接粘到了自己的代码里。
你可能从来没怀疑过,这些 AI 信誓旦旦给出的网址,根本就不是官方地址,甚至可能是黑客专门等着你的钓鱼站点。
Palo Alto Networks 旗下 Unit 42 研究团队最新发布的报告《Phantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector》,把这种全新的攻击方式命名为 Phantom Squatting (幻影域名抢注)。它利用大语言模型天生的幻觉特性,把 AI 生成的虚假域名变成了软件供应链层面的攻击入口,而且已经在真实世界里出现了多起落地案例。
过去大家理解的供应链攻击,大多集中在篡改开发工具、投毒开源依赖、劫持更新服务器这些方向。防御方也有成熟的思路,做包完整性校验、二进制签名、依赖审计,把防护建在这些可预测的攻击面上。
但随着 LLM 深度嵌入开发流程,这套逻辑正在失效。
现在的开发者会让 AI 编码助手找文档链接,企业的 CI/CD 流水线里集成了 AI 助手来推荐第三方服务端点,甚至有自主运行的 AI 智能体会自动完成网页检索、发起 HTTP 请求。而所有这些场景里,人们都默认 AI 输出的 URL 是可信的,很少会去独立验证。
当 LLM 生成的链接会被直接写进生产代码、被自动化程序执行、被当成权威地址放进文档的时候,它就不再是一个无关紧要的输出错误,而成了供应链里一个可被利用的脆弱节点。
Phantom Squatting 并不是第一个利用 AI 幻觉的攻击思路。此前已经有研究提出过 Slopsquatting 的概念,核心是利用 LLM 幻觉出不存在的软件包名,黑客抢先在开源仓库注册这些包名,等待开发者误引入依赖。
而 Phantom Squatting 把同样的攻击逻辑从软件包延伸到了整个网络基础设施。LLM 既然能编出不存在的库名,自然也能编出不存在的品牌门户、API 接口、企业服务域名。这些被模型凭空生成、可能被攻击者利用的虚假域名,就叫做 phantom domain (幻影域名)。
你可以很直观地想象几个场景。
AI 编码助手生成了一个听起来很合理的员工福利门户地址,黑客提前注册下来等着收集账号密码。
做调研的 AI 智能体生成了一个银行门户网站域名,而这个域名早就被攻击者注册好等着捕获流量。
开发者把 AI 推荐的 API 接口地址写进了业务代码,不知不觉把应用数据导向了黑客控制的服务器。
这已经不是理论上的风险,Unit 42 的研究确认,这条攻击路径现在已经在真实环境中被活跃利用。
为什么传统防御拦不住,很多人会说,企业不是有 URL 过滤和威胁情报系统吗。问题的核心在于,几乎所有传统防护体系都默认恶意域名会有可检测的历史信誉。黑名单靠历史恶意记录,威胁情报要等域名出现在活跃攻击里才会标记,信誉评分更需要域名积累足够的运行数据才能判定。
#
而幻影域名刚好踩中了这个规则的盲区,实现了 zero-reputation bypass (零信誉绕过)。
攻击者刚注册完一个幻觉域名并投入使用的时候,它没有任何威胁情报记录,没有历史信誉分,也不在任何黑名单里。基础设施是全新的,内容是刚做的,传统防护边界根本拿不到可以判定风险的信号。等威胁情报系统同步更新、把它加入黑名单的时候,早就有用户被自己信任的 AI 系统引导到了恶意站点上。
这也是幻影抢注比传统钓鱼更棘手的地方。这些假域名从诞生开始就是干净的,因为它们来自 LLM 自身的语言逻辑,和模型输出的其他可信内容遵循完全一样的生成模式,天然就带着一层可信度滤镜。
完整的 Phantom Squatting 攻击分为四个阶段,形成了一套闭环的攻击链路。
第一阶段是 Discover (探测)。攻击者会系统性地向 LLM 发起提问,针对目标品牌摸索出模型最容易生成哪些虚假域名。
这个过程叫做对抗性幻觉探测,攻击者会用贴近真实使用场景的提示词诱导模型输出,统计和归纳幻觉出现的规律,整理出一份高价值幻影域名清单。
第二阶段是 Act (注册)。拿到清单之后,攻击者会优先抢注其中利用价值最高的域名。普通顶级域名的注册成本极低,操作几乎是瞬时完成的。观测数据显示,这些域名从注册到部署恶意内容只需要几个小时。在 Montana Empire 案例里,攻击者甚至在域名注册前就做好了服务端的钓鱼套件,把零信誉绕过的策略优化到了极致。
第三阶段是 Lure (引流)。
这是整个攻击最特殊的一步,攻击者不需要发钓鱼邮件、挂恶意广告,甚至不用做任何主动推广。只要有用户或者 AI 智能体提出对应的问题,LLM 自己就会把攻击者的域名当作权威地址推荐出去。
攻击的分发载体,就是用户已经安装在工作流里、完全信任的 AI 助手。比如员工向 AI 要第三方服务的登录地址,AI 返回了一个钓鱼域名,整个过程没有任何传统的钓鱼诱饵,受害者只是遵循了企业认可的 AI 工具给出的建议,就落入了陷阱。
第四阶段是 Bypass (绕过)。刚注册的幻影域名凭借零信誉状态,绕过绝大多数常规 URL 防护。在积累到足够的恶意行为数据被标记之前,它和正常的新注册域名没有任何区别。老练的攻击者还会用 redirect cloaking (重定向伪装)、验证码拦截等手段躲避爬虫检测,长期维持这种绕过状态。
为了量化这种威胁的规模,Unit 42 团队搭建了一套多智能体的发现框架,完整模拟了从探测到注册检测的全流程。
整个框架分为三层。
Query Agent (查询代理) 先梳理目标品牌的产品、门户和开发者资源,生成贴近真实场景的提示词,再用 Jaccard 相似度过滤掉重复内容,保证探测的多样性。
URL Creator Agent (URL 生成代理) 把这些提示词放到不同模型、不同temperature参数下运行,收集所有生成的 URL。
Verification Pipeline (验证管道) 再结合威胁情报、主动页面爬取、域名归属分析三重信号,给每个 URL 判定风险等级,已经恶意的直接标记,未注册的就加入幻影域名监控名单,持续追踪注册动态。
整个研究覆盖了 913 个来自科技、金融、医疗、电商、政府等多个行业的全球品牌,一共执行了 685339 条对抗性提示,在两款不同的 LLM 上搭配三种不同的temperature参数运行,最终生成了 210 万条独立 URL。
在这些结果里,有 13229 条 URL 已经被威胁情报系统确认为恶意,占比 0.61%。其中恶意软件分发站点占比最高达到 67.2%,其次是钓鱼站点 16.2%,灰色软件 13.7%,还有 3% 是 C2 (命令与控制) 服务器。除此之外还有 41313 条 URL 属于高风险类别,包括停放域名、内容不足的站点,随时可能被攻击者接管利用。
更值得警惕的是,全部 URL 里有 809455 条是无法解析的无效地址,也就是模型纯幻觉出来的产物。这些 URL 归一化之后,对应着大约 25 万个可注册的独立幻影域名。也就是说,目前还有至少 25 万个潜在攻击位等着攻击者去抢占。
这些幻觉域名也分不同层级。其中 49.7% 是路径级幻觉,也就是域名本身是对的,但后面的资源路径是编的。39.5% 是子域名级幻觉,根域名合法但子域名不存在。剩下 10.8% 是纯根域名级幻觉,整个域名都是编造的,也是最容易被攻击者直接注册利用的类型。
研究团队对比了两款不同定位的模型,LLM1 是面向企业场景优化的 mini 级模型,LLM2 是低延迟的 lite 级前沿模型。结果显示 LLM1 的无效域名率达到 44.6%,远高于 LLM2 的 27.5%。但两者生成恶意 URL 的比例非常接近,分别是 0.64% 和 0.56%,说明生成恶意基础设施的风险是不同模型共有的特性,和模型架构、训练数据没有太大关系。
还有一个很关键的发现和temperature参数有关。研究分别测试了 Precise 精确模式 T=0.1、Balanced 平衡模式 T=0.7、Creative 创意模式 T=1.5 三种设置。创意模式下无效域名率高达 43.1%,明显高于精确模式的 34.64% 和平衡模式的 32.52%。但三种模式下恶意 URL 的比例都稳定在 0.57% 到 0.63% 之间,没有明显差异。这说明temperature参数只会放大幻觉的总量,扩大攻击面,但不会改变恶意内容出现的基础概率。幻觉更多是模型的固有属性,不是单纯调参数就能解决的问题。
判断一个幻影域名的攻击价值,主要看两个指标。第一个是 Thermal Hallucination Persistence (热幻觉持久性),也就是哪怕在低温度的精确模式下,模型依然会反复生成同一个域名。这种域名出现的概率极高,很容易被普通用户遇到,攻击价值最高。第二个是 Cross-model hallucination consensus (跨模型幻觉共识),也就是不同架构的模型都会生成同一个虚假域名。如果多款模型都不约而同地编出同一个假地址,那这个域名的可预测性就极强,是攻击者的首选目标。
研究团队不仅统计了整体数据,还通过主动监控抓到了多起真实发生的攻击,并且实现了提前预警。他们用 Adversarial Exploitation Window (对抗利用窗口) 来衡量提前量,也就是从模型检测到这个幻影域名,到攻击者实际注册它的时间间隔。数值为正,就说明防御方有提前反应的时间。
第一个案例也是最完整的一个,叫做 Montana Empire 钓鱼套件事件,提前预警时间达到 23 天。2026 年 3 月 8 日,研究团队的系统就发现,两款模型在所有温度设置下都会生成某国邮政电商平台的相关幻觉域名,甚至在最严谨的精确模式下也稳定出现。这说明这个域名的热幻觉持久性极高,团队随即把它加入了监控名单。
3 月 31 日,也就是 23 天之后,攻击者注册了这个域名,上线了仿冒该电商平台的钓鱼站点。研究团队在注册当天就检测到了这次操作。后续分析发现,攻击者开发这套钓鱼套件的时候,同样使用了 AI 编码助手。套件里包含实时页面爬取工具、银行卡和转账双渠道信息窃取、身份证数据采集、OTP 验证码中转面板,还通过 Telegram 机器人实时同步窃取到的信息。这个案例形成了一个完整的闭环,攻击者用 AI 开发攻击工具,目标是 AI 自己会幻觉出来的域名,整个攻击链路都围绕 LLM 的特性展开。
第二个案例是仿冒国家邮政服务的恶意安卓应用,提前预警时间长达 51 天。2026 年 2 月 18 日,研究团队检测到某邮政相关的管理口子域名在五组不同的模型参数配置下都会出现,随即把对应的根域名加入监控。4 月 10 日,攻击者注册了这个域名,上线了高度还原官方品牌的页面,用虚假的评分和用户量诱导访客下载名为对应邮政 APP 的恶意 APK 文件。注册完成后几小时内,监控系统就发出了告警。正规的邮政应用只会在官方应用商店上架,这种通过仿冒站点直接分发的方式,刚好绕过了应用平台的安全检测。
除此之外还有多个已验证的真实案例。比如针对孟加拉国市场的博彩网站钓鱼域名,攻击者在 18 分钟内连续注册了两个相关幻影域名,使用完全相同的模板和本地化内容。还有一家阿联酋商业银行的仿冒域名,攻击者早在 11 个月前就注册并投入使用,而研究团队的模型后来独立生成了完全一样的地址,侧面证明这类幻觉是模型的必然输出,具备高度可预测性。
Phantom Squatting 带来的风险,远不止普通用户点错钓鱼链接这么简单。
风险最高的场景是 Agentic AI (智能体 AI) 工作流。现在越来越多的自主智能体可以独立完成多步任务,包括抓取网页、调用 API、下载资源,所有操作都基于 LLM 生成的 URL 执行。人类用户点进钓鱼链接,还需要手动输入密码、下载文件才会中招。但自主智能体拿到 URL 之后会直接访问、直接处理返回内容,全程不需要人工干预。它可能在没人察觉的情况下就把企业密钥泄露出去,执行恶意指令,甚至把被污染的依赖带进整个构建流水线。这种机器速度的攻击,会把从初始访问到数据泄露的窗口压缩到一小时以内,防御响应的难度极大。
另一类核心风险在开发者工具层面。现在的 AI 编码助手已经深度参与开发流程,查找 API 文档、定位包仓库、提供 webhook 地址、生成集成代码,这些场景都会输出 URL。Montana Empire 案例已经证明,攻击者会利用 AI 开发攻击工具,而开发者也可能在不知不觉中,把 AI 生成的恶意接口地址写进生产代码。AI 辅助攻击开发和 AI 驱动攻击分发,正在融合成同一条攻击链路。
Phantom Squatting 利用的是 LLM 的固有特性,本质上没法从模型层面彻底修补。只要模型基于人类语料训练,就一定会根据语言规律生成听起来合理的虚假域名。随着 LLM 部署越来越广、智能体能力越来越强,这个攻击面还会持续扩大。
但这不代表只能被动防守。恰恰因为幻觉的出现有规律、可预测,防御方反而可以抢占先机。既然攻击者可以探测模型的幻觉规律,防御方同样可以主动测绘完整的幻觉攻击面,提前整理出高风险幻影域名清单,建立主动监控机制。在攻击者注册之前就做好准备,一旦检测到注册行为立刻处置,把防护前置到攻击发生之前。这种主动发现的思路,是目前唯一能从根源上应对幻影抢注的防御模式。传统的事后黑名单机制永远追不上新域名的注册速度,只有前置预判才能真正缩小攻击者的时间窗口。
说到底,Phantom Squatting 给所有人提了一个醒。当我们越来越依赖 AI 输出结果的时候,不能默认它说的都是对的。尤其是涉及域名、链接、依赖包这种直接关联安全的内容,多一步核验,就多一层安全。AI 在提升效率的同时,也在不断拓展新的攻击边界。而对抗的本质,永远是谁先看清下一个攻击面。
往期:
当大模型学会逆向拆解EDR,终端安全的天平正在倾斜
把四款主流EDR的检测逻辑拆出来本地运行
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:黑鸟 黑鸟 黑鸟《AI 凭空编出的假域名,正在成为软件供应链的新陷阱》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论