Krok 3: Zneužití důvěry uživatele. Oběť – ať už lidský uživatel, nebo autonomní AI agent – klikne na odkaz vygenerovaný AI a vkročí přímo do pasti . Než tradiční bezpečnostní systém stihne doménu označit jako škodlivou, je obvykle již pozdě
.
To představuje zásadní posun oproti klasickému cybersquattingu. Zatímco tradiční cybersquatting spoléhá na lidské překlepy nebo domény podobné těm pravým (např. „netflix-payments[.]com“) , phantom squatting nahrazuje lidskou chybu halucinací AI a mění vlastní slabinu modelu v útočný vektor
.
Společnost Palo Alto Networks zatím veřejně nezveřejnila konkrétní názvy značek nebo domén zachycených v kampaních phantom squattingu, ale několik zdokumentovaných vzorců poskytuje názorný kontext .
Zneužití zákaznické podpory. Phantom squatting lze použít k vytváření phishingových odkazů, které se vydávají za legitimní URL adresy značek nebo podpory generované AI . Útok využívá skutečnosti, že uživatelé mohou odkazu více důvěřovat, když pochází od AI asistenta
.
Phishing a squatting s tématikou AI. Palo Alto Networks zaznamenala prudký nárůst tradičních malware a phishingových technik, které zneužívají zájem o AI a ChatGPT . Mezi listopadem 2022 a dubnem 2023 pozorovala jednotka Unit 42 910% nárůst měsíčních registrací domén souvisejících s ChatGPT a až 118 denních detekcí škodlivých URL s touto tématikou
. Cílem útočníků je nalákat uživatele ChatGPT na zdánlivě související weby, které je nakazí
.
Související technika: „Slopsquatting.“ Paralelní varianta zaměřená na dodavatelský řetězec – nazvaná slopsquatting – cílí na názvy softwarových balíčků, které AI halucinuje, místo doménových jmen . Útočníci identifikují smyšlené názvy balíčků, které LLM často doporučují pro programátorské úkoly, zaregistrují je do veřejných repozitářů (npm, PyPI, RubyGems) a vloží do nich malware
. Když vývojář požádá AI asistenta o řešení, asistent sebevědomě doporučí fantomový balíček a vývojář, důvěřující autoritativnímu tónu AI, jej nainstaluje
. Výzkum napříč 16 modely zjistil, že přibližně 19,7 % balíčků doporučených AI nástroji bylo zcela smyšlených – což představuje přes 205 000 halucinovaných názvů balíčků
.
Palo Alto Networks navrhuje několik obranných vrstev ke zmírnění rizika phantom squattingu:
1. Proaktivní monitorování domén. Organizace by měly sledovat podezřelé squattingové domény. Proaktivně lze využít i systémy založené na LLM: výzkum nástroje DomainLynx ukázal, že složený AI systém dosáhl 94,7% přesnosti na datové sadě 1 649 squattingových domén a v měsíčním reálném testu odhalil 34 359 squattingových domén z 2,09 milionu nově registrovaných .
2. Filtrování nově registrovaných domén (NRD). Pokročilá DNS bezpečnost od Palo Alto Networks zahrnuje signaturu pro nově registrované domény (UTID 109020001) . Nově registrované domény jsou ty, které operátor TLD přidal nebo změnily vlastníka v posledních 32 dnech; mnohé z nich se používají k usnadnění škodlivých aktivit, jako je provoz velitelských serverů nebo distribuce malwaru
.
3. Ochrana na úrovni DNS. DNS bezpečnostní nástroje mohou kontrolovat nebo blokovat provoz na rizikové domény, včetně NRD, které jsou běžně zneužívány pro phishing a sociální inženýrství . Pokročilé filtrování URL (Advanced URL Filtering, AURL), poháněné Precision AI a in-line detektory hlubokého učení v reálném čase, dokáže identifikovat a blokovat dosud nevídané phishingové domény ve chvíli, kdy se objeví
.
4. Vzdělávání uživatelů a ověřování výstupů AI. Uživatelé by měli k URL adresám generovaným AI přistupovat s obezřetností a kritické výstupy ověřovat pomocí lidské kontroly, důvěryhodných databází, API nebo kurátorských znalostních bází . Křížové porovnávání odpovědí modelů s autoritativními zdroji je zásadní pro jakékoli vysoce rizikové použití
.
5. „Ochranná zábradlí“ pro AI agenty. Autonomní agenti a pracovní postupy využívající AI by měly před stažením, instalací nebo akcí generované URL adresy a názvy balíčků ověřovat proti důvěryhodným zdrojům . To je obzvláště důležité u nástrojů pro vývojáře, kde varianta slopsquatting představuje přímé riziko pro vývojové pipeline
.
Phantom squatting je reálná a nastupující hrozba, která využívá známou chybu AI – halucinace – proti uživatelům, kteří důvěřují jejím výstupům . Útok zneužívá právě tu vlastnost, která dělá LLM užitečnými: jejich schopnost generovat s jistotou věrohodně znějící obsah, i když podkladová reference neexistuje. Pro účinnou obranu je třeba kombinovat proaktivní monitorování domén, přísné filtrování DNS/NRD, vzdělávání uživatelů a ochranná opatření, která považují URL adresy generované AI za nedůvěryhodné, dokud nejsou nezávisle ověřeny
.