大语言模型幻觉驱动幻影域名抢注(Phantom Squatting)攻击机理与分层防御技术研究

在线体验各类最新模型,更有模型 免费Token 额度领取!
立即体验
简介: 本文首次系统揭示“幻影域名抢注”新型AI钓鱼攻击:LLM稳定幻觉生成虚构域名,攻击者抢先注册并部署钓鱼站点。基于2026年实测数据,提出主动预判式监测、三层防护代码及四层闭环防御体系,填补AI输出侧安全空白。(239字)

摘要

生成式大语言模型(LLM)普遍存在事实幻觉缺陷,模型会自主生成不存在、符合语义逻辑的域名地址。攻击者利用该稳定幻觉特征,提前注册此类虚构域名并部署仿冒站点实施钓鱼、恶意软件分发,该新型攻击被 Palo Alto Networks Unit 42 命名为幻影域名抢注(Phantom Squatting)。本文基于 Unit 42 2026 年 7 月实测研究数据,系统剖析幻影域名抢注攻击底层机理、完整攻击链路、野外真实攻击案例,对比传统域名仿冒攻击差异,延伸同源软件供应链 Slopsquatting 攻击进行关联论证;结合 Python 工程代码实现幻觉域名批量探测、域名可信校验、AI 输出 URL 拦截三层防护原型;从企业安全运营、AI 开发流程、终端用户三层维度构建闭环防御体系。反网络钓鱼技术专家芦笛指出,幻影域名抢注属于 LLM 架构固有结构性漏洞衍生威胁,无法通过微调、对齐等模型优化手段彻底根除,传统域名黑名单、信誉检测存在天然滞后性,必须建立主动预判式域名监测机制。实测数据显示,测试双 LLM 针对 913 个跨行业品牌生成 210 万条链接,其中 25 万条为未注册幻觉空白域名,13229 条已被攻击者注册并标记恶意,攻击覆盖金融、政务、医疗、电商多类高价值目标。研究成果可为企业 AI 安全管控、域名品牌防护、网络钓鱼检测提供标准化技术落地路径。

关键词:幻影域名抢注;LLM 幻觉;网络钓鱼;域名安全;生成式 AI 安全;主动威胁监测

1 引言

1.1 研究背景

自 2022 年通用大语言模型规模化落地以来,AI 助手、代码生成工具、智能企业代理已深度嵌入办公、开发、政务服务全流程。用户、开发人员、运维人员普遍形成直接采信 AI 输出内容的使用习惯,对模型返回网址、接口地址、平台登录域名缺乏人工核验流程。LLM 在问答、代码生成场景下存在不可规避的事实幻觉问题:模型依托训练数据内语言统计规律生成文本,不具备实时互联网域名有效性校验能力,会自主构造逻辑通顺、外观高度可信但互联网中不存在的域名地址。

传统域名仿冒攻击(打字抢注 Typosquatting、同形字攻击 Homograph)依赖用户手动输入网址产生拼写错误,攻击流量来源具备被动性;而幻影域名抢注完全依托 AI 工具主动分发虚假链接,攻击流量由 AI 主动推送至目标人群,攻击触达效率、覆盖范围、欺骗性均实现量级提升。2026 年 Unit 42 野外监测证实,攻击者已形成标准化攻击流程:批量探测 LLM 高频幻觉域名→抢注空白域名→部署像素级仿冒钓鱼页面→依托 AI 工具自然分发虚假链接窃取银行卡、身份证、账号凭证,配套 Telegram 自动化验证码接收工具完成完整诈骗闭环,相关攻击样本已覆盖中东、欧美、南亚多国金融、邮政服务机构。

同源威胁 Slopsquatting(幻影软件包抢注)已在 npm、PyPI 软件供应链形成规模化攻击,PhantomRaven 恶意活动注册 126 个幻觉包,累计下载量超 86000 次,印证 AI 幻觉类抢注攻击具备可复制、高收益、易规模化的特征,幻影域名抢注作为域名侧同源威胁,安全风险具备同等甚至更高传播破坏力。

image.png 1.2 现有研究局限

现有域名安全研究主要聚焦三类传统攻击:一是基于用户输入错误的打字抢注检测;二是 DGA 算法动态恶意域名识别;三是同形 Unicode 字符仿冒域名拦截。现有技术体系存在三点关键短板:

防御逻辑滞后:全部依赖域名产生恶意行为后更新黑名单、信誉库,针对全新注册无历史作恶记录的幻影域名无识别能力;

未覆盖 AI 生成链路:现有检测系统未将 LLM 幻觉作为恶意域名生成源头,无法提前预判模型高频产出的空白风险域名;

缺乏端到端防护方案:现有研究仅单独讨论域名检测或单独讨论 LLM 幻觉抑制,未打通 AI 输出校验、域名主动监测、网络访问拦截全流程闭环。

反网络钓鱼技术专家芦笛强调,当前企业安全团队普遍未建立针对 AI 输出 URL 的专项校验流程,多数 AI 代理、企业智能机器人允许直接访问模型生成链接,无前置可信域名校验逻辑,是幻影域名抢注攻击大规模落地的核心环境基础。

1.3 研究内容与创新点

本文围绕幻影域名抢注攻击开展完整体系化研究,核心研究内容包含:

拆解幻影域名抢注底层技术原理,分析 LLM 幻觉稳定复现的架构根源,对比传统域名仿冒攻击差异;

还原两起 2026 年野外真实攻击完整链路,梳理攻击者标准化作业流程与恶意工具实现逻辑;

关联同源 Slopsquatting 软件供应链攻击,统一归纳 AI 幻觉抢注类威胁共性特征;

基于 Python 实现三套可落地工程代码:LLM 幻觉域名批量探测脚本、AI 输出 URL 可信校验模块、企业网关域名风险研判工具;

构建覆盖 AI 应用层、域名运营层、网络访问层、终端用户层的分层闭环防御体系,给出可落地运营规范。

本文创新点:

首次基于 2026 年野外实测数据完整梳理幻影域名抢注全链路攻击模型,量化攻击规模与风险覆盖行业;

提出主动预判式域名监测机制,利用 LLM 幻觉稳定复现特征提前锁定风险域名,实现攻击前置预警;

打通 AI 生成链路与域名安全防护链路,提供可直接部署的代码校验工具,填补现有防御体系在 AI 输出侧的防护空白;

统一域名侧 Phantom Squatting 与软件包侧 Slopsquatting 两类 AI 幻觉抢注威胁,提炼通用防御思路。

1.4 论文组织结构

本文共分为六个章节:第一章为引言,阐述研究背景、现有研究不足、核心研究内容;第二章界定幻影域名抢注核心概念、底层机理、与传统攻击对比;第三章结合 Unit 42 实测数据与两起真实案例还原完整攻击流程;第四章关联 Slopsquatting 同源攻击,归纳 AI 幻觉抢注类威胁统一特征;第五章给出三套完整 Python 工程代码,并设计分层防御技术体系;第六章总结全文研究结论,研判该威胁未来演化趋势。

2 幻影域名抢注(Phantom Squatting)基础理论与攻击机理

2.1 核心概念定义

幻影域名抢注(Phantom Squatting)由 Palo Alto Networks Unit 42 于 2026 年正式定义,指攻击者批量捕获大语言模型在问答、业务查询场景下稳定幻觉生成的、尚未被任何人注册的虚构域名,抢先完成域名注册,搭建仿冒品牌钓鱼站点、恶意软件分发页面,依托 AI 工具自动推送虚假链接获取流量,实施凭证窃取、恶意程序投放的新型网络钓鱼攻击手段。

核心区分概念:

幻觉域名:LLM 基于语言统计规律自主生成,不存在于互联网、未收录于任何域名注册库、不在模型训练数据集内的虚构域名,具备跨模型、多次查询稳定复现特征;

幻影域名:攻击者抢先注册的幻觉域名,注册时间短、无历史访问、无作恶记录、无安全厂商信誉标记,天然绕过传统域名安全过滤;

传统打字抢注(Typosquatting):修改真实域名字符制造拼写错误,流量来源于用户手动输入失误,域名变体依赖人工拼写误差,无 AI 参与生成环节。

2.2 LLM 幻觉产生与稳定复现底层机理

幻影域名抢注能够规模化实施的核心前提是 LLM 幻觉域名具备高度稳定复现能力,该特征源于大语言模型 Transformer 架构固有结构性缺陷,无法通过模型微调、RLHF 人类对齐、输出过滤从根源消除,Unit 42 研究人员明确该攻击向量 “利用 LLM 架构固有属性,本质不可修补”。

2.2.1 幻觉域名生成逻辑

LLM 不具备实时联网查询域名注册状态、域名有效性的能力,模型仅依靠训练数据中域名、品牌、服务名称的字符组合统计概率预测输出文本。当用户询问某品牌官方登录、商城、服务地址时,模型会匹配训练数据中同类品牌域名命名范式,自主拼接符合语义逻辑的全新域名字符串。

关键特征:幻觉域名不存在于训练数据集,测试所用两款 LLM 发布时间早于野外出现的幻影恶意站点,证明域名完全由模型推理生成,而非记忆输出。

2.2.2 多模型一致性复现机制

不同架构、不同厂商的 LLM 面对同一品牌查询指令,会生成高度重合的幻觉域名。训练数据内互联网域名命名规则具备统一范式(如brand-mall.com、official-brand-login.com、brand-service-online.com),多模型共享相同字符统计分布,因此幻觉输出高度趋同。该特性极大降低攻击者探测成本:仅需单模型批量探测即可锁定全系列 LLM 通用幻觉域名,无需针对多模型分别测试。

2.2.3 模型创造力参数的放大效应

LLM 温度(temperature,创造力)参数与幻觉域名产出量呈正相关:温度数值越高,模型文本生成随机性越强,虚构域名产出数量显著提升。企业 AI 代理、智能客服、代码工具为提升回答丰富度普遍调高温度参数,直接扩大幻影域名抢注攻击面。

2.3 幻影域名天然绕过传统安全防御的核心原因

传统域名安全防护体系全部依赖域名历史行为数据建立拦截规则,全新注册幻影域名无任何历史行为记录,形成天然防御空白,核心绕过逻辑分为三点:

信誉评分机制失效:域名信誉系统依靠历史钓鱼、恶意分发、垃圾页面行为累积风险分数,新注册空白域名初始信誉分为良性,无任何负面标记;

威胁情报黑名单滞后:安全厂商爬虫、威胁情报源需要持续抓取站点内容、监测用户受害样本后,才会将域名录入黑名单,该周期通常为数天至数十天;

DNS、网关静态过滤无匹配规则:防火墙、DNS 过滤库仅收录已知恶意域名,未预判空白幻觉域名,无法提前拦截访问请求。

完整攻击时间差链条:LLM 输出幻觉域名→用户通过 AI 工具访问幻影域名→用户提交账号、银行卡信息→安全厂商监测到恶意行为→录入黑名单完成拦截,受害者已完成信息泄露,防御完全后置。

2.4 幻影域名抢注与传统域名仿冒攻击对比分析

为清晰区分新型威胁与传统域名攻击差异,从流量来源、域名生成方式、防御短板、攻击效率、预判可行性五个维度构建对比表:

表格

攻击类型 流量来源 域名生成逻辑 防御核心短板 攻击触达效率 能否提前预判

幻影域名抢注 Phantom Squatting AI 工具自动推送链接,用户主动跟随 AI 指引访问 LLM 语义推理生成全新虚构域名,非真实域名变体 无历史作恶记录,黑名单滞后 极高,AI 规模化分发覆盖海量用户 可预判,批量探测 LLM 高频幻觉域名

打字抢注 Typosquatting 用户手动输入网址拼写错误 真实域名增删、替换字符 依赖人工输入失误,流量不稳定 中等,仅覆盖手动输入用户 不可预判,变体数量无限

同形字 Homograph 攻击 用户点击链接、手动输入 Unicode 视觉相似字符替换真实域名字符 浏览器可视化识别难度高 中等,依赖钓鱼邮件分发 仅能识别已知字符替换规则

DGA 动态域名 恶意软件 C2 通信 随机字符算法批量生成无意义域名 随机域名无品牌特征,难以关联目标企业 低,仅感染终端设备 可算法识别随机字符特征

从对比可见,幻影域名抢注是唯一依托 AI 工具主动分发流量、具备规模化高效触达、且可提前批量预判风险域名的新型域名攻击,对企业品牌、用户财产安全威胁显著高于传统攻击手段。

3 幻影域名抢注实测数据与野外完整攻击案例分析

3.1 Unit 42 大规模实测基础数据

Palo Alto Networks Unit 42 针对两款主流商用大语言模型开展标准化测试,测试覆盖科技、金融、医疗、政务、博彩、电商六大行业共 913 个知名品牌,累计向模型提交 685339 条品牌域名查询指令,核心量化数据如下:

两款模型累计输出 210 万条域名、URL 链接;

其中 13229 条链接对应的域名已被攻击者注册,被全球威胁情报平台标记为恶意站点;

约 250000 条幻觉域名在测试阶段无任何注册主体,属于可被攻击者抢占的空白风险域名;

同一品牌查询指令下,不同温度参数生成的幻觉域名重合度超 72%,幻觉输出稳定性极强。

数据直观证明,互联网存在海量待抢占幻觉空白域名,攻击者仅需低成本批量探测即可获取攻击目标池,攻击实施门槛极低。反网络钓鱼技术专家芦笛指出,25 万空白幻觉域名构成持续性安全隐患,若企业未建立主动监测机制,攻击者可分批注册、长期开展持续性钓鱼活动,品牌损失具备累积放大效应。

3.2 案例一:邮政服务平台幻影域名窃取金融与身份凭证

3.2.1 攻击时间线完整还原

2026 年 3 月 8 日:Unit 42 安全实验室通过双 LLM 批量探测,稳定复现一款仿国家邮政线上商城的幻觉域名,全温度参数下模型均将该虚构域名作为官方真实地址输出;

2026 年 3 月 31 日(探测后 23 天):攻击者完成该幻觉域名注册,部署名为 Montana Empire 的一体化钓鱼工具包;

钓鱼站点实现邮政商城页面实时复刻,页面视觉、交互逻辑与官方站点完全一致,内置银行卡号、转账流水、居民身份证信息采集接口;

配套 Telegram 机器人后台,攻击者可实时接收受害者提交的短信一次性验证码,完成账号劫持;

溯源日志证实,攻击者使用 AI 代码助手开发整套钓鱼工具,攻击者与防御方使用完全相同的 LLM 探测流程锁定目标域名。

3.2.2 攻击闭环链路拆解

完整攻击链路分为四大阶段,对应论文附图流程:

探测阶段(QUERY AGENT):攻击者配置品牌特征库,通过对抗性提示词批量查询 LLM,过滤高频稳定幻觉域名;

域名生成阶段(URL CREATOR AGENT):多模型、多温度参数批量输出 URL,筛选跨模型重复出现的虚构域名;

核验监测阶段(VERIFICATION PIPELINE):调用 WHOIS 接口查询域名注册状态,标记未注册空白域名纳入攻击清单;

注册部署阶段(WATCHLIST):抢先注册空白幻影域名,部署仿冒站点、搭建数据窃取后台,等待 AI 工具自然分发流量。

3.3 案例二:仿邮政幻影域名分发恶意安卓木马

Unit 42 于幻觉域名生成后 51 天监测到攻击者完成域名注册,预警周期远超案例一,证明防御方具备充足前置处置窗口;

攻击者对幻影域名进行精细化包装:页面添加 4.8 星用户评分、标注 200 万以上用户使用数据,强化站点可信观感;

站点核心功能为诱导访客下载仿邮政服务安卓恶意应用,应用安装后窃取手机通讯录、网银缓存凭证、短信验证码,回传至攻击者 C2 服务器。

3.4 其他已监测攻击目标场景

除邮政服务外,Unit 42 捕获多类行业幻影域名攻击样本:

阿联酋主流银行仿冒域名:攻击者持续利用对应幻觉域名开展诈骗活动近一年;

欧洲区域商业银行幻影域名:定向窃取企业对公转账账户信息;

孟加拉地区体育博彩类幻觉域名:投放赌博诈骗页面,诱导用户充值转账。

攻击覆盖 ToC 个人用户、ToB 企业对公账户,金融资产窃取为攻击者核心牟利目标,攻击具备跨地域、跨行业规模化复制特征。

4 同源威胁 Slopsquatting(幻影软件包抢注)关联分析

4.1 Slopsquatting 核心定义与攻击逻辑

Slopsquatting 是幻影域名抢注在软件供应链领域的同源攻击,二者同属 AI 幻觉抢注大类威胁,核心差异仅为抢注对象:Phantom Squatting 抢注互联网域名,Slopsquatting 抢注 npm、PyPI 等代码仓库不存在的软件包名称。

攻击流程高度统一:

攻击者批量向代码生成 LLM 提交开发需求,采集模型稳定幻觉生成的不存在软件包名称;

抢先在开源代码仓库注册该幻影包名;

包内植入数据窃取、后门、挖矿恶意代码;

开发者采信 AI 生成代码,直接执行npm install、pip install命令,触发恶意程序执行。

4.2 PhantomRaven 大规模恶意活动实证

USENIX 安全学术研究与 Unit 42 监测数据证实,PhantomRaven 攻击活动完整落地 Slopsquatting 攻击,关键数据:

攻击者注册 126 个 LLM 幻觉生成的 npm 幻影软件包;

全部恶意包累计下载量超 86000 次,大量企业开发环境无意识引入恶意依赖;

幻觉包名不依赖真实包拼写错误,完全依托 LLM 语义推理生成,与幻影域名生成逻辑完全同源。

4.3 两类 AI 幻觉抢注威胁统一共性特征

通过对比域名侧 Phantom Squatting 与供应链侧 Slopsquatting,提炼四大通用特征,为统一防御体系提供理论支撑:

底层根源一致:均依托 LLM 固有事实幻觉缺陷,输出稳定复现的不存在资源标识(域名 / 软件包名);

攻击前置窗口期长:防御方可提前批量探测幻觉资源,在攻击者注册前完成预警处置;

传统防护体系失效:域名黑名单、代码仓库安全扫描均为后置检测,无法覆盖全新空白资源;

风险传导链路一致:AI 工具输出→用户无校验采信→访问 / 安装攻击者控制资源→敏感数据泄露。

反网络钓鱼技术专家芦笛提出,企业安全团队应建立统一的 AI 幻觉资源监测平台,同步覆盖域名、软件包两类抢注风险,避免分模块独立防护造成监测盲区。

5 幻影域名抢注分层防御技术体系与工程代码实现

针对幻影域名抢注攻击链路的四大阶段(LLM 幻觉生成、域名抢先注册、AI 输出链接分发、终端访问恶意站点),本文构建四层闭环防御体系,同时提供三套可直接部署的 Python 工程代码,分别实现幻觉域名批量探测、AI 输出 URL 实时校验、企业网关域名风险研判。

5.1 防御体系整体分层架构

四层防护由内至外形成全链路阻断,无防护断点:

第一层:AI 应用层防护,拦截 LLM 幻觉 URL 输出,部署实时域名有效性校验模块;

第二层:域名运营层防护,主动批量探测幻觉域名,建立风险域名监测清单,注册预警;

第三层:网络网关层防护,多维域名相似度研判,拦截新注册高风险幻影域名访问;

第四层:人员运营层防护,标准化 AI 使用规范、安全培训、常态化漏洞巡检。

5.2 工程代码实现(Python 完整可运行示例)

5.2.1 代码一:LLM 幻觉域名批量探测脚本(攻击预判工具)

本脚本模拟攻击者探测逻辑,安全团队可用于提前抓取目标品牌高频幻觉域名,建立风险监测清单,依赖 openai、tldextract、csv 库,实现批量提示词调用、URL 提取、域名持久化存储。

import openai

import tldextract

import csv

import re

import time


# 配置参数

openai.api_key = "企业API密钥"

TARGET_BRANDS = ["USPS", "UAEBank", "Amazon", "Microsoft", "国内邮政服务"]

QUERY_PROMPTS = [

   "请给出{}官方线上商城登录网址",

   "{}官方客户服务平台域名是什么",

   "在哪里可以登录{}个人账户进行转账操作"

]

MODEL_NAME = "gpt-4"

TEMPERATURE_LIST = [0.3, 0.7, 1.0]  # 覆盖低、中、高创造力参数

OUTPUT_CSV = "llm_hallucination_domain_risk.csv"


# 正则提取文本内URL

def extract_all_url(text: str) -> list:

   url_pattern = re.compile(r"https?://[a-zA-Z0-9\-\.\/_]+")

   raw_urls = url_pattern.findall(text)

   domain_set = set()

   for url in raw_urls:

       ext = tldextract.extract(url)

       full_domain = f"{ext.domain}.{ext.suffix}".lower()

       if ext.domain and ext.suffix:

           domain_set.add(full_domain)

   return list(domain_set)


# 批量调用LLM生成幻觉域名

def batch_scan_hallucination():

   result_rows = []

   for brand in TARGET_BRANDS:

       for prompt_template in QUERY_PROMPTS:

           prompt = prompt_template.format(brand)

           for temp in TEMPERATURE_LIST:

               try:

                   resp = openai.ChatCompletion.create(

                       model=MODEL_NAME,

                       temperature=temp,

                       messages=[{"role": "user", "content": prompt}]

                   )

                   content = resp.choices[0].message["content"]

                   halluc_domains = extract_all_url(content)

                   for domain in halluc_domains:

                       row = {

                           "brand": brand,

                           "prompt": prompt,

                           "temperature": temp,

                           "hallucination_domain": domain,

                           "timestamp": time.time()

                       }

                       result_rows.append(row)

                   time.sleep(1.2)  # 接口限流控制

               except Exception as e:

                   print(f"探测异常 brand:{brand}, err:{str(e)}")

                   continue

   # 写入CSV风险清单

   with open(OUTPUT_CSV, "w", newline="", encoding="utf-8") as f:

       fieldnames = ["brand", "prompt", "temperature", "hallucination_domain", "timestamp"]

       writer = csv.DictWriter(f, fieldnames=fieldnames)

       writer.writeheader()

       writer.writerows(result_rows)

   print(f"幻觉域名探测完成,结果保存至{OUTPUT_CSV},共采集{len(result_rows)}条风险域名记录")


if __name__ == "__main__":

   batch_scan_hallucination()

代码应用场景:企业安全团队每周定时执行脚本,输出品牌关联高频幻觉域名清单,对接 WHOIS 域名注册监控接口,一旦清单内域名出现注册行为立即触发告警,实现提前数十天预警。反网络钓鱼技术专家芦笛建议,该探测脚本需覆盖企业对外全部品牌,每季度更新提示词库适配业务场景。

5.2.2 代码二:AI 应用 URL 实时校验拦截模块(AI 应用层防护)

嵌入企业内部 AI 客服、智能代理、代码助手后端,所有模型输出 URL 必须经过本模块校验,未列入官方可信域名白名单则直接拦截访问请求,阻断幻觉域名分发链路。

import re

import tldextract

from typing import Dict, Optional


# 企业官方可信域名白名单(持续更新)

TRUSTED_DOMAIN_WHITELIST = {

   "usps.com",

   "amazon.com",

   "microsoft.com",

   "official-ebank.ae",

   "china-post.gov.cn"

}


class AiUrlGuard:

   def __init__(self):

       self.whitelist = TRUSTED_DOMAIN_WHITELIST


   def extract_core_domain(self, url: str) -> Optional[str]:

       """提取URL核心根域名"""

       try:

           ext = tldextract.extract(url.strip())

           full_d = f"{ext.domain}.{ext.suffix}".lower()

           return full_d if ext.domain and ext.suffix else None

       except:

           return None


   def check_url_safety(self, url: str) -> Dict:

       """统一校验接口,返回风险判定结果"""

       core_d = self.extract_core_domain(url)

       if not core_d:

           return {

               "url": url,

               "safe": False,

               "risk_level": "high",

               "desc": "URL格式非法,禁止访问"

           }

       if core_d in self.whitelist:

           return {

               "url": url,

               "safe": True,

               "risk_level": "low",

               "desc": "匹配官方可信域名白名单"

           }

       # 匹配幻觉风险域名清单(读取上一节探测脚本输出csv)

       return {

           "url": url,

           "safe": False,

           "risk_level": "critical",

           "desc": "非官方可信域名,疑似LLM幻觉幻影域名,阻断访问"

       }


# 模块调用示例

if __name__ == "__main__":

   guard = AiUrlGuard()

   test_urls = [

       "https://usps.com/shop",

       "https://usps-mall-online.com/login",  # 幻觉幻影域名

       "https://amazon.com/account"

   ]

   for test_url in test_urls:

       res = guard.check_url_safety(test_url)

       print(f"检测URL:{test_url} 判定结果:{res}")

核心防护逻辑:企业 AI 代理、自动爬虫、文档生成工具调用外部链接前强制调用check_url_safety接口,高风险域名直接阻断网络请求,从源头阻止用户被引导至幻影钓鱼站点。

5.2.3 代码三:网关多维域名风险研判工具(网络层防护)

部署于企业出口防火墙、DNS 网关,对所有外部访问域名做相似度、注册时长双维度风险评分,识别新注册仿品牌幻影域名,实现网络层拦截。

import tldextract

from fuzzywuzzy import fuzz

from datetime import datetime


# 配置参数

BRAND_CORE_DOMAINS = ["usps.com", "amazon.com", "microsoft.com"]

SIM_THRESHOLD = 78  # 域名相似度风险阈值

NEW_DOMAIN_DAY_LIMIT = 60  # 注册60天内判定为全新风险域名


def get_domain_similarity(target_domain: str, brand_domains: list) -> int:

   """计算目标域名与官方品牌域名最高相似度"""

   max_score = 0

   t_ext = tldextract.extract(target_domain)

   t_core = t_ext.domain.lower()

   for b_domain in brand_domains:

       b_ext = tldextract.extract(b_domain)

       b_core = b_ext.domain.lower()

       score = fuzz.ratio(t_core, b_core)

       if score > max_score:

           max_score = score

   return max_score


def judge_domain_risk(domain: str, register_date: str) -> dict:

   """

   register_date: 域名注册时间字符串,格式YYYY-MM-DD

   返回风险判定结果

   """

   sim_score = get_domain_similarity(domain, BRAND_CORE_DOMAINS)

   reg_datetime = datetime.strptime(register_date, "%Y-%m-%d")

   now_datetime = datetime.now()

   domain_age_days = (now_datetime - reg_datetime).days


   risk_score = 0

   risk_reason = []

   # 相似度风险判定

   if sim_score >= SIM_THRESHOLD:

       risk_score += 55

       risk_reason.append(f"与官方品牌域名相似度{sim_score},仿冒特征显著")

   # 新域名风险判定

   if domain_age_days <= NEW_DOMAIN_DAY_LIMIT:

       risk_score += 40

       risk_reason.append(f"域名注册仅{domain_age_days}天,全新空白域名,幻影域名高风险")

   # 综合风险等级

   if risk_score >= 70:

       level = "high"

       action = "block"

   elif 30 <= risk_score < 70:

       level = "medium"

       action = "alert"

   else:

       level = "low"

       action = "allow"

   return {

       "domain": domain,

       "similarity_score": sim_score,

       "domain_age_days": domain_age_days,

       "risk_total_score": risk_score,

       "risk_level": level,

       "action": action,

       "risk_reason": risk_reason

   }


# 测试示例

if __name__ == "__main__":

   test_cases = [

       {"domain": "usps-mall-online.com", "register_date": "2026-03-31"},

       {"domain": "usps.com", "register_date": "2002-05-10"},

       {"domain": "random-test-site-xyz.com", "register_date": "2026-06-20"}

   ]

   for case in test_cases:

       res = judge_domain_risk(case["domain"], case["register_date"])

       print("="*60)

       print(f"域名风险研判结果:{res}")

5.3 四层防御体系详细落地规范

5.3.1 第一层:AI 应用层防护(源头阻断幻觉链接分发)

强制部署 URL 校验模块:企业内部所有 LLM 应用、AI 代理、代码工具接入AiUrlGuard校验接口,禁止无校验自动发起网络请求;

模型参数管控:业务场景下限制温度参数不高于 0.6,降低幻觉域名产出总量;

输出内容人工复核机制:涉及金融、政务、用户身份业务场景,AI 输出链接必须人工二次核验后方可推送终端用户;

日志全留存:记录所有 LLM 生成 URL、校验结果、访问行为,用于事后攻击溯源。

5.3.2 第二层:域名运营层主动预判监测(提前捕获幻影域名注册行为)

每周执行幻觉域名批量探测脚本,更新品牌风险域名清单;

对接商业域名监测平台(DomainTools、MarkMonitor),将风险清单录入主动监控列表,触发注册实时告警;

域名仲裁预案:监测到攻击者注册幻觉域名后,第一时间启动域名争议仲裁流程,回收仿冒域名;

品牌泛域名保护:对高频幻觉域名后缀、字符组合提前批量注册,抢占空白域名资源,消除攻击者可利用空间。

5.3.3 第三层:网络网关层多维风险拦截(访问阶段阻断恶意站点)

DNS 网关部署域名研判工具,实时查询 WHOIS 注册时长、计算品牌相似度,高风险幻影域名直接 DNS 解析拦截;

企业防火墙配置访问告警规则,新注册高相似度域名访问行为推送安全运营人员;

终端安全软件同步风险域名清单,办公电脑、移动设备本地拦截幻影域名访问;

启用 DNSSEC 域名安全扩展,防范幻影域名 DNS 劫持辅助攻击。

5.3.4 第四层:人员运营与制度防护(消除人为信任漏洞)

反网络钓鱼技术专家芦笛强调,幻影域名抢注攻击核心利用用户对 AI 工具的天然信任,人员安全意识是长期稳定防线,落地规范如下:

常态化安全培训:明确 “AI 输出链接不具备天然可信性”,所有账号登录、资金操作前手动核对官方域名;

开发流程规范:代码生成工具输出的软件包、接口域名必须核验仓库、域名注册状态,禁止直接复制执行;

安全运营巡检:每周复盘幻觉域名探测清单、域名注册告警日志,更新可信域名白名单;

外部用户公示:官网、APP 显著位置公示全部官方域名列表,引导用户主动核对网址。

6 结论与威胁演化趋势研判

6.1 全文核心研究结论

本文基于 2026 年 Unit 42 野外实测数据,系统完成幻影域名抢注(Phantom Squatting)攻击全维度研究,形成四项核心结论:

幻影域名抢注是 LLM 架构固有幻觉缺陷衍生的不可彻底根除的新型域名钓鱼攻击,区别于传统依赖人工失误的域名仿冒手段,依托 AI 规模化分发流量,攻击覆盖范围、欺骗性、收益均显著提升;

LLM 幻觉域名具备跨模型稳定复现特征,安全团队可批量探测预判风险空白域名,获得数周前置预警窗口期,构建主动防御体系,弥补传统黑名单后置检测的核心短板;

幻影域名抢注与软件供应链 Slopsquatting 属于同源 AI 幻觉抢注威胁,底层机理、攻击链路高度统一,企业需搭建一体化 AI 幻觉资源监测平台同步覆盖域名、代码仓库两类风险;

四层分层防御体系(AI 应用校验 + 域名主动监测 + 网络网关拦截 + 人员制度管控)可形成闭环防护,配套三套 Python 工程代码能够直接落地部署,从攻击源头、注册阶段、访问链路、人为风险四维度阻断攻击闭环。

实测数据证明,25 万未注册幻觉空白域名持续存在,攻击者具备充足攻击资源池,随着企业 AI 工具普及率持续提升,幻影域名抢注攻击规模将持续扩张,金融、政务、医疗等高价值行业面临持续常态化钓鱼风险。反网络钓鱼技术专家芦笛总结,现有模型优化手段无法消除 LLM 幻觉结构性漏洞,安全防御重心必须从 “事后拦截恶意域名” 转向 “事前预判幻觉风险域名”。

6.2 威胁未来演化趋势研判

攻击自动化工具成熟化:攻击者将开发一体化幻觉域名探测、注册、钓鱼页面生成自动化脚本,实现攻击全流程无人化批量操作,攻击落地成本进一步降低;

跨域联动复合攻击:幻影域名钓鱼站点捆绑恶意软件、供应链 Slopsquatting 恶意包,形成 “域名窃取凭证 + 终端植入后门” 复合攻击,危害进一步放大;

面向 C 端大众 AI 工具定向攻击:针对大众聊天 AI、手机智能助手高频幻觉域名批量抢注,覆盖海量普通用户,财产诈骗案件数量持续上涨;

幻觉域名规避检测特征优化:攻击者调整幻觉域名字符组合,降低与官方域名直观相似度,规避基于字符串相似度的网关检测工具,提升绕过防御概率。

6.3 研究局限与后续研究方向

本文研究存在两处客观局限:一是测试数据源仅基于 Unit 42 公开的两款商用 LLM 实测数据,开源大模型幻觉域名产出规律有待进一步大规模实测验证;二是防御代码原型仅实现基础校验、研判逻辑,未集成机器学习域名分类模型,识别精度仍有优化空间。

后续可开展两项延伸研究:第一,构建开源 / 商用多模型大规模幻觉域名数据集,量化不同架构 LLM 幻觉产出差异;第二,融合图神经网络、语义相似度算法优化域名风险研判模型,提升低相似度幻影域名识别准确率;第三,研究轻量化 LLM 幻觉抑制提示词工程,在不降低业务问答质量前提下减少幻觉域名输出数量。

6.4 结语

生成式 AI 重塑网络攻击面,幻影域名抢注作为新型 AI 原生钓鱼威胁,打破传统域名安全防护的底层逻辑,后置式黑名单、信誉检测体系已无法适配攻击前置特征。企业、安全厂商、AI 服务商需协同推进主动预判式域名监测、AI 输出强制校验、标准化人员安全规范三位一体防护建设,平衡 AI 业务落地效率与网络安全风险。面对 LLM 架构固有幻觉漏洞,不存在单一、一劳永逸的防御手段,只有多层级、全链路闭环防护体系,才能持续缓释幻影域名抢注带来的钓鱼、数据泄露安全隐患。

编辑:芦笛(公共互联网反网络钓鱼工作组)

目录
相关文章
|
7天前
|
人工智能 JSON 自然语言处理
让教学更智慧:用阿里云百炼工作流,自动生成中小学教材内容#小有可为#有温度的AI
通过可视化工作流编排,将大模型推理能力转化为标准化的教学内容生成引擎。教师只需输入教材标题和适用学段,即可自动获得结构完整、符合课程标准的章节内容,大幅降低备课门槛,助力教育资源均衡化。
474 123
|
8天前
|
人工智能 定位技术 SEO
我学 GEO 第 15 天:终于知道AI GEO该如何做?
我是暴走的莉莉酱,边旅行边研究AI GEO的数字游民。专注普通人如何提升“AI可见度”——让AI在回答用户问题时准确识别、理解并推荐你。不讲玄学,只做可测、可调、可持续的GEO实践。
451 127
|
16天前
|
Linux 程序员 数据格式
【2026最新】Notepad++下载、安装和使用一篇搞定(附中文版安装包)
Notepad++ 是一款免费开源、轻量高效的 Windows 文本编辑器,支持 C/Python/HTML 等 80+ 语言语法高亮、代码折叠、正则替换、编码转换及插件扩展,专为程序员与文本处理用户打造,完美替代系统记事本。(239字)
|
11天前
|
机器学习/深度学习 人工智能 调度
🐴 HappyHorse 1.1 现已上线阿里云百炼!快来查收模型使用指南,现在调用享 6 折~
HappyHorse 1.1 是新一代视频生成大模型,全面升级动态表现力、角色一致性、指令遵循、视觉质感与音画协同能力。支持I2V/T2V/R2V三类生成,适配短剧、电商广告、品牌营销等场景,提供高质、流畅、可控的AI视频生产力。
781 5
🐴 HappyHorse 1.1 现已上线阿里云百炼!快来查收模型使用指南,现在调用享 6 折~
|
3天前
|
人工智能 安全 Cloud Native
Higress 新发布:AI Gateway 能力增强,Gateway API 及其推理扩展持续打磨
增强 AI 网关能力,持续打磨 Gateway API 及其推理扩展。
299 122
|
3天前
|
消息中间件 存储 Kafka
Kafka 原生消息入湖能力上线!一键打通实时流与数据湖
阿里云消息队列 Kafka 版正式上线原生消息入湖能力。
249 121
|
8天前
|
缓存 人工智能 运维
阿里云618百炼大模型Qwen3.7-Max功能、免费试用、订阅计费、配置接入详解
Qwen3.7-MAX是阿里云百炼平台推出的通义千问3.7系列旗舰大语言模型,专为智能体时代复杂任务打造,依托阿里云全域算力与自研技术,在逻辑推理、长文本处理、代码工程、长周期自主执行等领域达到行业顶尖水平。2026年618期间,该模型推出多重免费试用权益、按量计费5折、订阅套餐优惠等专属福利,覆盖个人开发者、团队与企业全场景需求,以下从核心功能、免费试用、订阅计费、配置接入四方面展开详细解析。
464 124

热门文章

最新文章