Büyük dil modelleri, var olmayan web adreslerini icat etmeye devam ediyor. Saldırganlar, bu oluşturulmuş alan adlarını herkesten önce satın almaya ve ardından yapay zeka araçlarının yönlendirdiği trafiği yakalamak için kimlik avı sayfalarını bu alan adlarında barındırmaya başladı.
Palo Alto Networks'ün 42. Birimi bu hileyi hayalet çömelme olarak adlandırıyor ve yeni araştırması bunun zaten vahşi doğada gerçekleştiğini gösteriyor.
Önemli olmasının nedeni güvendir. Geliştiriciler ve yapay zeka asistanları, bir modelin geri verdiği bağlantılara giderek daha fazla gerçekmiş gibi davranıyor. Bir model henüz var olmayan bir alan adı icat ettiğinde, onu ilk kaydeden kişi, kimlik avı e-postası ve kötü amaçlı reklam gerekmeden, bu yanlış güvenin tamamını devralır.
Sorunu ölçmek için Ünite 42, iki yapay zeka modeline teknoloji, finans, sağlık, hükümet, kumar ve diğer sektörlerdeki 913 tanınmış marka hakkında 685.339 soru sordu.
Modeller 2,1 milyon bağlantı üretti. Tehdit istihbaratı zaten bunlardan 13.229'unu doğrudan kötü amaçlı olarak işaretledi; bu da yapay zekanın bilinen kötü adresleri dağıttığı anlamına geliyor. İcat edilen alan adlarının yaklaşık 250.000'inin henüz sahibi yoktu ve her biri, onu ilk kaydeden kişi için hazır bir hedefti.
Hayalet çömelme nasıl çalışır?
Saldırı işe yarıyor çünkü yepyeni bir alan adının itibarı yok. Engelleme listeleri, tehdit yayınları ve itibar puanlarının tümü, bir siteyi işaretlemeden önce bir süre kötü davranmaya ihtiyaç duyar.
Yeni kaydedilmiş bir hayalet alanın böyle bir kaydı yoktur, dolayısıyla bu filtrelerin işaretleyecek hiçbir şeyi yoktur. Onlar yetiştiğinde kurban zaten güvendiği bir araç tarafından siteye gönderilmiştir.
İki ayrıntı durumu daha da kötüleştiriyor. Sahte alanlar eğitim verilerinde yer almıyordu: Her iki model de gerçek kötü amaçlı siteler ortaya çıkmadan önce gönderiliyordu; dolayısıyla adresler, bellekten değil, modellerin kendi dil kalıplarından geliyordu. Ve bu modeller tutarlıdır.
Farklı modeller genellikle aynı soru için aynı sahte alanı icat eder, bu da saldırganın bir sonraki hedefinin tahmin edilmesini kolaylaştırır. Bir modelin "yaratıcılık" ayarını açmak yalnızca daha fazla icat edilmiş etki alanı üretti. Unit 42 araştırmacılarının belirttiği gibi, vektör "LLM mimarilerinin doğası gereği onarılamaz kalan yapısal bir özelliğinden yararlanıyor."
Gözlemlenen iki vaka
İki durum tam döngüyü göstermektedir. 8 Mart 2026'da Unit 42'nin sistemi, yapay zeka modellerinin ulusal posta hizmetinin çevrimiçi pazarına benzeyen bir alan icat edeceğini öngördü. Her iki model de bunu her sıcaklık ayarında oluşturdu; bu, sahte siteyi gerçekmiş gibi değerlendirdiklerinin güçlü bir işareti.
Yirmi üç gün sonra, 31 Mart'ta, bir saldırgan tam olarak bu alan adını kaydetti ve Montana Empire adlı bir kimlik avı kitini ele geçirdi. Kit, gerçek vitrini gerçek zamanlı olarak kopyaladı. Kart numaralarını, banka havalesi ayrıntılarını ve ulusal kimlik verilerini çaldı.
Bir Telegram botu, operatörün kurbanların tek seferlik şifrelerini elle onaylamasına olanak tanıyor. İşin sırrı: Geriye kalan proje dosyaları ve oturum kayıtları, suçlunun kiti bir yapay zeka kodlama asistanıyla oluşturduğunu gösteriyordu. Saldırgan ve savunucu, bir yapay zekaya sorarak aynı sahte alana aynı şekilde ulaştı.
İkinci durumda, Birim 42, bir saldırganın kaydetmesinden tam 51 gün önce halüsinasyonlu bir posta hizmeti alan adını işaretledi. Saldırgan daha sonra bunu piksel açısından mükemmel bir marka klonuna sardı, sahte 4,8 yıldız derecelendirmesi ve iki milyondan fazla kullanıcının hak iddiasını ekledi ve bunu kötü amaçlı bir Android uygulamasını yayınlamak için kullandı.
Tespit edilen diğer alan adları, saldırganın yaklaşık bir yıldır kötüye kullandığı büyük bir BAE bankasının, bir Avrupa bankasının ve Bangladeş'teki kullanıcıları hedefleyen spor bahis sitelerinin kimliğine bürünüyordu.
Yeni bir hedefi olan eski bir numara
Phantom squatting, saldırganların yapay zeka kodlama araçlarının icat ettiği sahte yazılım paketi adlarını kaydettiği slopsquatting'in alan adı versiyonudur. Bu bir varsayım değil.
Büyük bir USENIX araştırması, kod üreten modellerin rutin olarak var olmayan paket adlarını önerdiğini ve PhantomRaven kampanyasının tam olarak bu davranışı 86.000'den fazla kurulumla 126 npm paketlerinde gizlenmiş kötü amaçlı yazılımlara dönüştürdüğünü buldu.
Bu daha büyük bir değişime işaret ediyor: Model çıktısı girdi haline geliyor. Geliştiriciler, aracılar ve güvenlik ekipleri yapay zeka tarafından oluşturulan bağlantılar ve adlar üzerinde herkesten önce harekete geçer.
onları ortadan kaldırıyor ve yapay zeka, savunucuların tepki vermesi gereken süreyi kısaltmaya devam ediyor.
Aynı zamanda, marka kimliğine bürünme kimlik avının artık ücretli bir hizmet haline geldiği, Lucid ve Lighthouse gibi kitlerin 74 ülkede 316 markaya karşı 17.500 sahte alan adına karşı koyduğu bir dünyaya da ulaşıyor.
Ne yapmalı
Modeller sürekli halüsinasyon gördüğünden, güvenlik ekipleri bir modelin hangi sahte alan adlarını üretebileceğinin haritasını çıkarabilir ve genellikle haftalarca süren uyarılarla bunları kaydeden herkesi izleyebilir. Herkes için pratik adımlar basittir:
Bir bağlantıya sırf yapay zeka verdi diye güvenmeyin. Bir şifre yazmadan veya koda yapıştırmadan önce alan adının gerçek, resmi alan olduğunu doğrulayın.
AI aracılarının, model tarafından oluşturulan bağlantıları kontrol etmeden otomatik olarak açmasını veya indirmesini önleyin. Bir temsilcinin, bir kişinin yapabileceği gibi tereddüt etme içgüdüsü yoktur.
Bir modelin yazdığı her şeye bir otorite olarak değil, doğrulanmamış bir taslak olarak davranın.
Bu pencere açık ve ilk hareket edeni ödüllendiriyor. Birim 42'nin çerçevelediği asıl soru, savunucuların mı yoksa saldırganların mı bu alanlara daha erken ulaşıp ulaşmadığıdır.