这种攻击手法与传统域名抢注(Cybersquatting)有本质区别。传统方式依赖用户手误,比如输入 "netflix-payments[.]com" 这样的近似域名 。而幻影域名攻击则用 AI 的幻觉取代了人为错误,将模型自身的缺陷变成了攻击武器
。
AI 主题钓鱼。 Palo Alto Networks 观察到大量传统恶意软件和钓鱼手段开始蹭 AI 和 ChatGPT 的热点 。其威胁情报团队 Unit 42 的数据显示,2022 年 11 月到 2023 年 4 月,与 ChatGPT 相关的新注册域名月均增长了 910% ,单日最多检测到 118 个相关恶意 URL
。攻击者的目标是将 ChatGPT 用户引诱到看似相关的假网站上,实施感染
。
关联手法:“Slopsquatting”。 这是一种针对软件供应链的变体,目标不是域名,而是 AI 在编程时幻觉出的软件包名 。攻击者先找到 LLM 经常推荐的但实际上不存在的代码库(Package)名称,然后在 npm、PyPI 或 RubyGems 等公共仓库上注册这些名称,并植入恶意代码
。当开发者向 AI 助手寻求编码方案时,AI 会自信地给出这个“幻影包”的名称和安装指令;开发者由于信任 AI,往往会直接安装,从而触发中毒
。一项针对 16 个模型的研究发现,AI 编程工具推荐的代码包中约有 19.7% 是完全虚构的——这意味着超过 20.5 万个幻影包名
。
Palo Alto Networks 建议组织构建多层防御体系:
1. 主动域名监控。 组织需要主动监控可疑的抢注域名。同时,也可以用 AI 来对付 AI:基于 LLM 的 DomainLynx 系统在 1,649 个抢注域名数据集上达到了 94.7% 的准确率,并在一个月的实际测试中,从 209 万个新域名里识别出了 34,359 个抢注域名 。
2. 新注册域名(NRD)过滤。 Palo Alto Networks 的 Advanced DNS Security 包含针对新注册域名的签名(UTID 109020001)。新注册域名是那些最近由顶级域(TLD)运营商新添加或所有权在 32 天内发生变更的域名,大量此类域名被用于指挥控制服务器、分发恶意软件等非法活动
。
3. DNS 层保护。 DNS 安全控制可以审查或阻止流向高风险域名的流量,包括钓鱼和社会工程攻击中常用的新注册域名 。由 Precision AI 和实时内联深度学习检测器驱动的 Advanced URL Filtering(AURL),能够识别并拦截前所未见的钓鱼域名
。
5. AI 代理护栏。 自主工作的 AI 代理和 AI 辅助工作流,在获取、安装或执行任何资源之前,必须对 AI 生成的 URL、包名等进行验证,确保其指向真实、可信的来源 。这一点对于编程助手尤其重要,因为 Slopsquatting 变种直接威胁开发流程的安全
。