
Phantom Squatting:AI 幻觉域名被用于钓鱼和 malware
Palo Alto Networks Unit 42 发现,攻击者正抢先注册 AI 生成但不存在的域名,再搭建钓鱼站点拦截流量。该手法称为 phantom squatting,已在真实环境中出现,并被用于窃取身份与付款资料。
Large language models 一直在捏造不存在的网址。攻击者已经开始在别人之前买下这些凭空编出来的 domains,然后在上面架设 phishing 页面,去捕捉 AI tools 指向这些地址的流量。
Palo Alto Networks 的 Unit 42 把这个手法叫做 phantom squatting,而它的最新 research 显示,这件事已经在现实世界中发生。
之所以重要,是因为信任。开发者和 AI assistants 越来越常把 model 回传的 links 当成真实链接。只要 model 捏造出一个尚不存在的 domain,谁先注册,谁就接手了这份被误放的信任,而且不需要 phishing email,也不需要 malicious ad。
为了衡量这个问题,Unit 42 让两个 AI models 针对科技、金融、医疗、政府、博彩,以及其他行业里 913 个知名 brands,提出了 685,339 个问题。
这些 models 一共产出了 210 万个 links。Threat intelligence 已经把其中 13,229 个标记为明确 malicious,这表示 AI 正在发放已知不良的 addresses。大约 25 万个被捏造出来的 domains 还没有 owner,谁先注册,谁就能直接拿来用。
How phantom squatting works
这个 attack 之所以可行,是因为一个全新的 domain 没有 reputation。Blocklists、threat feeds 和 reputation scores 都需要一个 site 先有一段时间的异常行为,之后才会把它标记出来。
一个刚注册的 phantom domain 没有这样的 record,所以这些 filters 没东西可标。等它们追上时,victim 已经被一个自己信任的 tool 送去那个 site 了。
有两个细节让情况更糟。那些 fake domains 并不在 training data 里:两个 models 都是在真实 malicious sites 出现之前就已经发布,所以这些 addresses 来自 models 自己的 language patterns,而不是记忆。而且这些 patterns 是一致的。
不同 models 常常会对同一个问题捏造出同一个 fake domain,这让 attacker 的下一个 target 很容易猜。把 model 的“creativity”设定调高,只会产生更多被捏造的 domains。正如 Unit 42 的 researchers 所说,这个 vector “exploits a structural property of LLM architectures that remains inherently unpatchable.”
Two observed cases
两个案例显示了完整的流程。2026-03-08,Unit 42 的系统预测,AI models 会捏造出一个类似某个国家邮政服务 online marketplace 的 domain。两个 models 在每一个 temperature setting 下都生成了它,这强烈显示它们把这个假站点当成事实。
二十三天后,也就是 2026-03-31,攻击者注册了那个完全相同的 domain,并架起一个名为 Montana Empire 的 phishing kit。这个 kit 实时复制了真实 storefront。它窃取了 card numbers、bank-transfer details,以及 national ID data。
一个 Telegram bot 让操作者可以手动批准 victims 的 one-time passcodes。露出的迹象是:残留的 project files 和 session logs 显示,犯罪者是用 AI coding assistant 做出这个 kit 的。攻击者和 defender 以同样的方式到达同一个假 domain:问 AI。
在第二个案例里,Unit 42 在攻击者注册前整整 51 天就标记出一个 hallucinated postal-service domain。之后,攻击者把它包装成 pixel-perfect 的 brand clone,加入一个假的 4.8-star rating 和“超过两百万用户”的说法,并用它推动一个 malicious Android app。
其他被侦测到的 domains 还冒充了一个主要 UAE bank,而该 bank 已经被攻击者滥用将近一年;另外还有一家 European bank,以及针对 Bangladesh 用户的 sports-betting sites。
An old trick with a new target
Phantom squatting 是 slopsquatting 的 domain 版本;在 slopsquatting 里,攻击者会注册 AI coding tools 捏造出来的假 software package names。这可不是假设。
一项大型 USENIX study 发现,code-generating models 经常会建议不存在的 package names,而 PhantomRaven campaign 则把这种行为直接变成了 malware,藏进 126 个 npm packages 里,总安装量超过 86,000 次。
这说明一个更大的转变:model output 正在变成 input。开发者、agents 和 security teams 会在任何人验证之前,就对 AI-generated links 和 names 采取行动;而 AI 也一直在缩短 defender 可用的反应时间。
这也发生在一个品牌冒充 phishing 已经变成 paid service 的世界里,像 Lucid 和 Lighthouse 这样的 kits,已经针对 74 个国家的 316 个 brands 搭起了 17,500 个 fake domains。
What to do
因为 models 的 hallucinate 行为很一致,security teams 可以找出某个 model 很可能会产生哪些 fake domains,并监视有没有人去注册它们,通常能提前好几个星期得到 warning。对其他所有人来说,实际可做的步骤很简单:
不要只因为是 AI 给的 link 就相信它。在输入 password 或把它贴进 code 之前,先确认 domain 真的是官方的。
不要让 AI agents 在没有检查的情况下自动打开或从 model-generated links 下载内容。Agent 没有人那种会犹豫的本能。
把 model 写出来的任何东西都当成未经验证的 draft,而不是 authority。
那个窗口已经打开,而且奖励的是谁先行动。正如 Unit 42 所强调的,真正的问题只是 defender 或 attacker 谁会更早碰到这些 domains。