
摘要
大语言模型推理过程中持续生成不存在的虚构域名,攻击者提前注册此类幻觉域名搭建仿冒站点开展钓鱼、恶意程序分发,该攻击被定义为幻影域名抢注(Phantom Squatting)。本文基于 Palo Alto Networks Unit 42 2026 年全域实测数据,完整拆解四阶段攻击生命周期、多主体探测框架与野外真实攻击样本,量化 210 万条 AI 生成 URL 对应的风险分布,区分路径、子域名、根域名三类幻觉结构;对比传统域名仿冒手段、同源 Slopsquatting 软件供应链攻击的共性与差异,剖析传统信誉型防御体系失效底层逻辑;构建覆盖 AI 应用、域名监测、网络网关、运营规范四层闭环防御架构,配套三段可落地 Python 校验与探测工程代码。实测数据显示 913 个跨行业品牌测试样本中存在 25 万个未注册空白幻影域名,攻击者可获得 18 至 51 天前置攻击窗口期,现有黑名单、域名信誉评分机制无法实现提前拦截。反网络钓鱼技术专家芦笛指出,幻影域名抢注依托 Transformer 架构固有幻觉缺陷产生,模型微调、人类对齐等优化手段无法从根源消除该攻击面,防御重心必须由事后溯源转向事前预判。研究形成从威胁测绘、实时校验、访问拦截到常态化运营的完整落地路径,可为企业 AI 代理、软件研发链路、品牌域名防护提供标准化安全方案。
关键词:幻影域名抢注;LLM 幻觉;域名仿冒;软件供应链;主动威胁监测;分层防御

1 引言
1.1 研究背景
生成式大语言模型已深度嵌入企业研发、自动化智能代理、办公辅助、客户服务全业务链路,AI 工具具备自主联网检索、生成 API 地址、输出品牌官方站点链接能力,CI/CD 流水线、自动化运维脚本、开发助手直接采信模型输出 URL 并发起网络请求,人工核验环节普遍缺失。LLM 依靠文本概率分布完成文本生成,不具备实时 DNS 有效性校验、域名注册状态查询能力,会稳定产出逻辑通顺但未被注册的虚构域名,该现象被命名 URL 幻觉。
攻击者将 LLM 幻觉能力武器化,形成全新攻击模式:批量探测模型高频输出的空白域名、抢先完成注册、搭建像素级品牌仿冒页面,依托 AI 工具天然信任流量实施凭证窃取、恶意 APK 分发、企业接口数据劫持。区别于打字抢注、同形字仿冒等传统被动域名攻击,幻影域名抢注的流量由 AI 主动推送,无需钓鱼邮件、恶意广告作为传播载体,攻击触达规模、欺骗性、隐蔽性全面提升。
Unit 42 2026 年专项监测证实该威胁已进入规模化野外落地阶段,针对邮政、跨境银行、博彩平台、政企服务的多起攻击事件完整闭环;同源 Slopsquatting 幻影软件包抢注活动 PhantomRaven 已造成八万余次恶意依赖安装,证明 AI 幻觉衍生资源抢占类攻击具备稳定收益、极低实施成本、可批量复制的特征。传统域名安全体系依赖域名作恶历史数据构建拦截规则,新注册幻影域名无任何威胁情报标记,形成天然防御盲区,现有技术架构无法适配新型攻击前置特征。
1.2 现有防护体系短板
当前域名安全、AI 安全领域的现有技术与运营机制存在四项结构性短板,无法应对幻影域名抢注威胁:
第一,防御逻辑后置。主流 URL 过滤、DNS 安全、威胁情报平台均以域名产生恶意行为为判定前提,域名注册、页面部署、用户受害全过程发生于黑名单录入之前,防御行为滞后于攻击行为;
第二,缺失 LLM 幻觉风险测绘能力。现有域名监测工具仅扫描已知仿冒变体,未针对模型推理产出的虚构域名建立批量探测框架,无法提前锁定 25 万级空白风险域名池;
第三,AI 输出无强制校验流程。企业自研智能代理、第三方 AI 开发工具允许直接调用模型生成链接,未部署域名可信性前置校验模块,自动化程序无人工干预即可访问攻击者基础设施;
第四,供应链与域名防护割裂。Slopsquatting 软件包抢注、Phantom Squatting 域名抢注底层机理完全同源,但企业安全团队分设代码仓库防护、域名品牌防护两套独立体系,未建立统一 AI 幻觉资源监测平台。
反网络钓鱼技术专家芦笛强调,多数企业在 AI 上线阶段仅关注提示注入、输出违规文本过滤,完全忽略 URL 幻觉带来的域名劫持风险,智能代理自主联网能力进一步放大该安全漏洞,成为软件供应链新型入侵入口。
1.3 研究内容与创新
本文依托 Unit 42 公开全量测试数据集、多主体探测框架、六类真实攻击案例开展体系化实证研究,核心研究内容包含:
标准化界定幻影域名抢注定义、四阶段攻击生命周期、多主体风险探测流水线,量化幻觉域名三类结构占比、不同模型与温度参数下风险产出差异;
对比打字抢注、同形字攻击、DGA 域名、Slopsquatting 供应链攻击,梳理 AI 幻觉抢注类威胁统一特征;
分析传统信誉防御失效核心机理,阐释新注册域名零信誉绕过逻辑、攻击者隐匿规避手段;
设计四层纵深闭环防御架构,提供幻觉域名批量探测、AI 输出 URL 实时校验、网关域名风险研判三段完整 Python 工程代码;
结合真实攻击窗口时序数据,提出企业常态化域名监测、AI 推理参数管控、开发流程安全规范落地细则。
本文创新点:
基于 210 万条实测 URL 原始数据,完整量化幻影域名攻击面规模、风险类别分布、模型参数影响规律,形成可复用威胁测绘标准流程;
提出主动预判式域名监控机制,利用模型幻觉稳定复现特性获取最长 51 天前置预警周期,弥补传统防御后置缺陷;
打通 AI 推理层、域名注册监测层、网络访问层防护链路,提供可直接集成于企业业务系统的校验代码原型;
统一域名、代码仓库两类 AI 幻觉抢注威胁防护逻辑,构建一体化资源监测运营方案。
1.4 论文组织架构
本文共设六个一级章节:第一章阐述研究背景、现有短板、核心研究内容;第二章定义幻影域名抢注基础概念、四阶段攻击生命周期、多主体探测框架与实测量化数据;第三章对比传统域名攻击、同源供应链威胁,解析传统防御失效原理;第四章完整还原两起代表性野外攻击事件,梳理攻击工具、时序窗口、窃取链路;第五章提出四层分层防御体系,附三段完整可运行 Python 代码与落地运营规范;第六章总结研究结论,研判威胁长期演化趋势,说明研究客观局限与后续拓展方向。
2 幻影域名抢注基础概念、攻击生命周期与实测量化分析
2.1 核心概念界定
幻影域名抢注(Phantom Squatting)由 Palo Alto Networks Unit 42 于 2026 年正式命名,特指攻击者通过批量提示词诱导 LLM 生成不存在的虚构域名,在域名未被合法品牌注册前完成抢注,搭建仿冒站点,依靠 AI 工具自然分发流量实施凭证窃取、恶意软件下发、企业接口劫持的新型网络钓鱼攻击。配套核心术语定义如下:
NXD 无解析域名:LLM 生成后经 DNS 校验不存在、未完成注册的完整 URL,归一化提取根域名后形成幻影风险域名池,本次实测共产生 809455 条 NXD 类 URL;
幻影域名:攻击者完成注册的 NXD 根域名,具备零信誉、无威胁情报标记、页面仿冒精度高三大特征;
热幻觉持久度(THP):衡量模型在低温度精准模式下重复输出同一虚构域名的频率,THP 数值越高,被 AI 推送给用户概率越大,攻击价值越高;
跨模型共识幻觉:多款不同架构 LLM 针对同一品牌查询输出完全一致的虚构域名,攻击者仅需单次探测即可覆盖全行业主流 AI 工具;
攻击前置窗口(AEW):安全团队首次探测到幻觉域名至攻击者完成注册的时间间隔,正数代表具备预警处置空间,负数代表攻击者提前完成域名抢占。
幻觉域名按结构分为三类:路径级幻觉、子域名级幻觉、根域名纯幻觉,其中 10.8% 的 NXD URL 属于根域名纯幻觉,具备独立注册价值,是攻击者首要抢占目标。
2.2 四阶段标准化攻击生命周期
Unit 42 将完整攻击流程划分为 Discover 探测、Act 抢占、Lure 引流、Bypass 绕过四个递进阶段,全链路无需传统钓鱼传播载体,依托 AI 自身分发流量。
2.2.1 Discover 对抗探测阶段
攻击者构建品牌特征库,生成覆盖官网查询、API 接口、支付网关、后台管理、客户端下载多场景多样化提示词,批量调用不同温度参数的 LLM,采集重复出现的高 THP 幻觉域名,筛选跨模型共识目标形成攻击清单。该阶段核心目的测绘品牌完整幻觉攻击面,全部操作可通过自动化脚本批量完成,单台设备单日可完成上万条提示词探测。
2.2.2 Act 域名抢占阶段
攻击者对清单内空白 NXD 域名批量注册,通用顶级域名注册成本极低、流程即时完成,部分攻击者提前搭建钓鱼程序包,域名注册后数小时内即可上线恶意页面。针对高价值金融、政务品牌,攻击者会同步批量注册后缀变体,形成多域名协同钓鱼集群。
2.2.3 Lure AI 引流阶段
LLM 成为攻击者无偿分发渠道,企业员工、研发人员、自动化 AI 代理查询品牌地址时,模型自动输出攻击者控制的幻影域名,用户或程序直接点击、发起请求,流量自然流入仿冒站点。自动化智能代理无人工犹豫环节,会自动抓取页面内容、提交内置密钥,造成企业机密泄露。
2.2.4 Bypass 信誉绕过阶段
新注册幻影域名无历史恶意记录,威胁情报、URL 过滤、DNS 信誉系统无匹配拦截规则;攻击者进一步采用爬虫隔离、人机区分、动态页面重定向规避安全厂商主动爬取检测,大幅延长域名被标记恶意的时间窗口,受害者完成信息泄露后防御体系才会生成拦截规则。
四阶段攻击生命周期图
2.3 多主体幻觉域名探测框架
Unit 42 搭建标准化主动测绘流水线,分为 Query 查询代理、URL 生成代理、核验流水线、幻影域名监控清单四大模块,完整复现攻击者探测逻辑,安全团队可复用该框架提前锁定风险域名。
Query 查询代理:梳理目标品牌产品、后台、支付服务,生成差异化提示词,通过杰卡德相似度过滤重复提示词,保证探测覆盖面;
URL 生成代理:调用两款不同架构 LLM,分别设置精准 T=0.1、均衡 T=0.7、创意 T=1.5 三类温度参数,提取所有响应内 URL,统计 THP 与跨模型共识指标;
核验流水线:对提取 URL 做 DNS 解析、威胁情报匹配、WHOIS 注册信息抓取、页面爬虫内容分析,区分已注册恶意域名、高风险停放域名、未注册 NXD 域名;
幻影监控清单:所有未注册根域名纳入持续监测列表,域名发生注册行为立即触发告警,重新进入核验流水线判定恶意属性。
多主体探测流水线
2.4 全域实测量化数据与风险分布
2.4.1 基础测试数据集规模
测试覆盖科技、金融、医疗、电商、政务、博彩、物流 7 大行业 913 个全球主流品牌,向两款商用 LLM 提交 685339 条标准化查询指令,模型合计输出 210 万条独立 URL,完整量化风险分层数据。
已确认恶意 URL:13229 条,占总 URL 0.61%,其中 67.2% 为恶意软件分发站点,16.2% 为凭证钓鱼页面,13.7% 灰色推广程序,3% 攻击者 C2 通信域名;
高风险待研判 URL:41313 条,包含停放域名、空白站点、未完善仿冒页面;
NXD 无解析 URL:809455 条,占总量 37.28%,归一化提取独立根域名约 25 万个,全部为可抢占空白幻影域名池。
恶意URL风险分类柱状图
2.4.2 两款 LLM 幻觉产出差异
LLM1 为批量推理优化轻量模型,NXD 幻觉率 44.63%;LLM2 为低延迟前沿轻量化模型,NXD 幻觉率 27.54%,前者幻觉生成规模显著更高。两款模型恶意 URL 生成比例接近,分别为 0.64%、0.56%,证明幻觉衍生恶意输出属于 LLM 通用结构性风险,与模型架构无强绑定关系;高风险页面产出率 LLM1(2.08%)同样高于 LLM2(1.67%)。
两款模型幻觉指标对比
2.4.3 温度参数对幻觉规模的影响
温度参数直接控制模型文本随机度,与 NXD 产出率正相关:创意模式 T=1.5 幻觉率 43.10%,均衡 T=0.7 为 32.52%,精准 T=0.1 为 34.64%;但三类参数下恶意 URL 稳定维持 0.57% 至 0.63% 区间,说明温度仅扩大攻击面总量,不会改变模型生成恶意地址的固有概率。企业为提升回答丰富度调高温度参数,会同步扩大幻影域名攻击暴露范围。
温度参数幻觉产出对比
2.4.4 幻觉域名结构分层占比
全部 809455 条 NXD URL 结构分布:路径级幻觉 49.7%、子域名级幻觉 39.5%、纯根域名幻觉 10.8%。两款模型结构偏好存在明显区分:LLM1 偏向路径编造(56.6%),LLM2 生成大量子域名(45.1%)与根域名幻觉(20%),后者产生的可独立注册幻影域名数量更多,攻击利用价值更高。
幻觉域名结构分布
3 幻影域名抢注横向威胁对比与传统防御失效机理
3.1 与传统域名仿冒攻击多维对比
现有域名攻击均依托域名相似性诱导用户访问恶意站点,但流量来源、生成逻辑、防御窗口期、预判可行性存在本质差异,对比维度如下表:
表格
攻击类型 流量获取方式 域名生成逻辑 历史信誉依赖 前置预警能力 自动化 AI 引流风险
幻影域名抢注 AI 工具主动推送 LLM 语义推理全新虚构域名 完全依赖,新域名零标记 可批量提前测绘 极高,自动化代理无人工校验
打字抢注 Typosquatting 用户手动输入拼写错误 真实域名增删替换字符 依赖已知变体黑名单 无法全覆盖预判 低,无 AI 自动分发链路
同形字 Homograph 攻击 钓鱼邮件、广告链接 Unicode 视觉相似字符替换 依赖字符规则库 仅识别已知替换模式 中等,需人工点击载体
DGA 随机域名 恶意软件 C2 通信 算法随机无意义字符生成 依赖随机特征识别 可实时算法拦截 极低,不面向普通业务查询
传统攻击全部依靠外部传播渠道或用户操作失误,幻影域名抢注直接利用企业内部信任 AI 体系完成流量分发,自动化代理场景下风险呈指数级放大。
3.2 同源 Slopsquatting 幻影软件包抢注关联分析
Slopsquatting 是幻影域名抢注在软件供应链的同源攻击,二者底层机理完全统一,仅抢占资源载体存在区别:LLM 生成不存在的软件包名称,攻击者提前在 npm、PyPI 仓库注册,植入挖矿、数据窃取后门,开发人员复制 AI 给出的安装命令后触发恶意代码执行。
2026 年 USENIX 公开 PhantomRaven 活动数据显示,攻击者注册 126 个 LLM 幻觉 npm 包,累计下载量超 86000 次,大量企业研发环境无意识引入恶意依赖,印证 AI 幻觉资源抢占具备跨载体复制能力。
两类威胁统一共性特征:
生成源头一致:依托 LLM 概率推理产生不存在的资源标识,不存储于训练数据集;
防御短板统一:传统仓库扫描、域名黑名单均为后置检测,空白无注册资源无法拦截;
攻击窗口充足:安全团队可批量探测幻觉资源,在攻击者注册前完成预警;
传导链路相同:AI 输出→无校验采信→访问 / 安装恶意资源→敏感数据泄露。
反网络钓鱼技术专家芦笛提出,企业安全运营需建立统一 AI 幻觉资源监测中台,同步覆盖域名、开源软件包两类载体,避免分模块防护造成监测盲区。
3.3 传统信誉型防御体系失效底层逻辑
当前商用 URL 过滤、DNS 安全、威胁情报平台全部建立在恶意行为沉淀基础上,幻影域名从根源绕过整套机制,核心失效逻辑分为三层:
零信誉初始状态:域名刚完成注册,无访问日志、无受害样本、无爬虫恶意页面记录,信誉评分系统默认标记为良性,不存在可匹配的负面特征;
情报同步存在时间差:安全厂商需要捕获用户上报、爬虫抓取恶意页面、样本逆向分析多道流程,从域名上线到录入黑名单最短间隔数天,长则数十天,AEW 攻击窗口内无任何拦截能力;
攻击者规避手段成熟:采用爬虫隔离策略,对安全厂商 IP 返回正常空白页面,普通访客展示仿冒钓鱼界面;搭配验证码、动态页面重定向、定期更换页面模板,进一步拉长情报采集周期;
自动化代理无风险感知:人类访问陌生仿冒站点会产生主观怀疑,AI 智能代理仅执行程序逻辑,无风险判断能力,自动提交密钥、接口凭证、业务数据,在情报同步前完成完整数据泄露。
该失效逻辑证明,仅依靠域名历史行为的防御体系无法适配幻影域名抢注攻击,必须新增基于 LLM 幻觉预测的主动前置防护模块。
4 野外真实攻击案例全链路实证分析
Unit 42 通过主动监测清单捕获多起完整攻击事件,选取两起时序、攻击目标、窃取链路具备代表性的案例完整还原,验证前文攻击模型与量化数据真实性。
4.1 案例一:Montana Empire 邮政商城钓鱼套件攻击
攻击前置窗口 AEW:23 天;攻击目标:国家级邮政线上商城用户;
探测阶段:2026 年 3 月 8 日,多主体流水线在全部三类温度参数下稳定复现同一邮政商城幻觉域名,跨模型共识度 100%,THP 高热幻觉特征,当日纳入监控清单;
抢占部署阶段:2026 年 3 月 31 日攻击者完成域名注册,使用 AI 代码助手开发完整 Montana Empire 钓鱼套件,工具内置实时官网页面爬虫、银行卡与身份证采集接口、Telegram 机器人 OTP 验证码中转后台;
窃取链路:用户通过 AI 助手查询邮政支付网关、后台管理地址,模型推送幻影域名,访客填写支付信息与短信验证码后,数据实时同步至攻击者控制面板;
溯源证据:钓鱼程序压缩包内留存 AI 编码助手项目日志,证明攻击者与防御方均依靠 LLM 探测锁定同一幻觉域名,形成攻防闭环。
Montana Empire攻击后台面板
4.2 案例二:邮政服务恶意安卓 APK 分发攻击
攻击前置窗口 AEW:51 天;攻击目标:邮政移动端 APP 下载用户;
探测阶段:2026 年 2 月 18 日,流水线在多模型、多参数配置下稳定产出仿邮政 APP 管理后台幻觉域名,根域名标记高风险;
抢占部署阶段:2026 年 4 月 10 日攻击者注册域名,页面复刻官方视觉配色,虚构 4.8 星用户评分、两百万用户使用数据诱导访客下载恶意 APK;
恶意程序能力:APK 安装后静默窃取手机通讯录、网银缓存凭证、短信全量内容,加密回传至攻击者 C2 服务器,规避应用商店安全检测,依靠 AI 引流实现线下分发;
防御价值:51 天超长预警窗口证明主动监测流水线可提前一个半月发现攻击目标,企业有充足时间开展域名防御注册、用户风险公示。
4.3 其他多区域同步攻击样本
监测清单额外捕获四起规模化幻影域名攻击,覆盖南亚博彩、欧洲零售银行、阿联酋商业银行:
孟加拉博彩仿冒域名:攻击者 18 分钟内批量注册两套幻觉域名,页面搭载本地孟加拉语内容、塔卡货币支付界面,定向诱导本地用户充值;
欧洲区域零售银行幻影域名:重复注册事件持续触发告警,定向截取企业对公转账账号信息;
阿联酋商业银行历史攻击:攻击者提前 11 个月注册幻觉域名开展企业管理员凭证窃取,安全流水线后续独立复现同一虚构地址,验证幻觉域名生成具备长期稳定特征。
5 四层闭环分层防御体系与工程代码实现
针对幻影域名抢注四阶段攻击链路,构建AI 应用源头校验层、域名主动监测层、网络网关拦截层、运营制度管控层纵深防御架构,四层模块相互联动,消除全链路防护断点,配套三段可直接集成部署 Python 工程代码,覆盖威胁测绘、实时校验、访问风险研判核心场景。
5.1 四层防御体系落地规范
5.1.1 第一层:AI 应用源头校验层(阻断幻觉链接分发)
该层作用于模型推理输出环节,在 AI 代理、开发助手、客服工具发起网络请求前强制校验域名可信性,从源头阻断幻影域名流量导出,落地规范:
全 LLM 应用强制接入 URL 校验接口,禁止自动化程序无核验访问外部域名;
管控模型温度参数,业务查询场景上限设置 0.6,降低幻觉域名生成总量;
金融、政务、企业账号类高敏感业务,AI 输出链接必须人工复核后推送终端用户;
完整留存 LLM 生成 URL、校验结果、访问行为日志,支撑事后攻击溯源。
5.1.2 第二层:域名主动监测层(提前捕获域名注册行为)
复用 Unit 42 多主体探测框架,每周批量生成品牌幻觉域名清单,对接域名注册事件流监控,落地规范:
每周自动化执行幻觉域名探测脚本,更新 NXD 空白风险清单;
将清单导入商业域名监测平台,域名注册行为实时推送安全告警;
建立品牌泛域名防御注册机制,对高频高热幻觉域名提前批量抢占;
收到注册告警后 24 小时内完成页面爬虫研判,同步启动域名争议仲裁流程。
5.1.3 第三层:网络网关拦截层(访问阶段阻断恶意站点)
部署于企业出口 DNS、防火墙、终端安全软件,依靠域名相似度、注册时长双维度实时研判风险,落地规范:
DNS 网关调用风险研判接口,新注册高相似度幻影域名直接阻断解析;
办公终端本地同步风险域名清单,浏览器访问时弹出安全拦截提示;
启用 DNSSEC 域名安全扩展,辅助防范幻影域名配套 DNS 劫持攻击;
针对自动化 AI 代理设置更严格拦截阈值,不允许人工放行高风险新域名。
5.1.4 第四层:运营制度管控层(消除人为信任漏洞)
反网络钓鱼技术专家芦笛强调,幻影域名抢注核心利用用户对 AI 工具的无条件信任,制度规范是长期稳定防线:
常态化安全培训,明确 AI 输出域名不具备天然可信属性,资金、账号操作前手动核对官网公示域名;
研发流程规范:AI 生成 API 地址、软件包名称必须核验注册状态,禁止直接复制执行;
每周安全运营巡检,复盘域名注册告警、幻觉探测清单,更新可信域名白名单;
企业官网、APP 首页公示全部官方域名列表,面向外部用户开展风险提示。
5.2 三段完整 Python 工程实现代码
5.2.1 代码一:LLM 幻觉域名批量探测脚本(域名监测层工具)
模拟 Unit 42 查询代理逻辑,批量调用 LLM 提取幻觉域名,输出标准化 CSV 风险清单,用于域名监控平台导入,依赖 openai、tldextract、正则解析库。
import openai
import tldextract
import csv
import re
import time
# 全局业务配置
openai.api_key = "企业部署LLM专属API密钥"
SCAN_BRANDS = ["国家邮政服务","阿联酋商业银行","亚马逊","微软","欧洲零售银行"]
QUERY_TEMPLATES = [
"{brand}官方线上商城登录域名",
"{brand}企业后台管理访问地址",
"{brand}支付网关API接口域名",
"{brand}移动端APP官方下载站点"
]
TEST_TEMP = [0.1,0.7,1.5]
OUTPUT_FILE = "llm_hallucination_risk_domains.csv"
# 文本内URL提取与根域名归一化
def get_unique_domain(text_content:str) -> list:
url_rule = re.compile(r"https?://[0-9a-zA-Z\-\.\/_]+")
raw_url_list = url_rule.findall(text_content)
domain_cache = set()
for url in raw_url_list:
parse_res = tldextract.extract(url)
full_domain = f"{parse_res.domain}.{parse_res.suffix}".lower()
if parse.domain and parse_res.suffix:
domain_cache.add(full_domain)
return list(domain_cache)
# 批量多参数探测LLM幻觉域名
def batch_hallucination_scan():
result_dataset = []
for brand in SCAN_BRANDS:
for template in QUERY_TEMPLATES:
prompt_text = template.format(brand=brand)
for temp_val in TEST_TEMP:
try:
llm_resp = openai.ChatCompletion.create(
model="enterprise-llm-v2",
temperature=temp_val,
messages=[{"role":"user","content":prompt_text}]
)
resp_content = llm_resp["choices"][0]["message"]["content"]
domain_list = get_unique_domain(resp_content)
for dom in domain_list:
row_data = {
"brand":brand,
"query_prompt":prompt_text,
"temperature":temp_val,
"hallucination_domain":dom,
"scan_timestamp":time.time()
}
result_dataset.append(row_data)
time.sleep(1) # API限流控制
except Exception as err:
print(f"探测异常品牌{brand},错误信息:{str(err)}")
continue
# 持久化风险清单
with open(OUTPUT_FILE,"w",encoding="utf-8",newline="") as f:
csv_writer = csv.DictWriter(f,fieldnames=["brand","query_prompt","temperature","hallucination_domain","scan_timestamp"])
csv_writer.writeheader()
csv_writer.writerows(result_dataset)
print(f"幻觉域名探测完成,共采集{len(result_dataset)}条风险记录,保存路径:{OUTPUT_FILE}")
if __name__ == "__main__":
batch_hallucination_scan()
工具部署说明:配置企业内部 LLM 接口,设置每周定时任务自动运行,输出文件同步至域名监控系统,触发空白域名注册告警。
5.2.2 代码二:AI 输出 URL 实时校验模块(AI 应用源头层工具)
嵌入企业 AI 代理、客服系统、开发助手后端,所有模型生成 URL 调用该接口校验,非白名单幻影域名直接阻断网络请求。
import tldextract
from typing import Dict
# 企业官方可信域名白名单,定期运维更新
TRUST_DOMAIN_LIST = {
"chinapost.gov.cn",
"usps.com",
"amazon.com",
"microsoft.com",
"official-uaebank.ae"
}
class AiUrlSecurityGuard:
def __init__(self):
self.whitelist = TRUST_DOMAIN_LIST
# 提取标准化根域名
def parse_root_domain(self, raw_url:str):
try:
extract_res = tldextract.extract(raw_url.strip())
full_d = f"{extract_res.domain}.{extract_res.suffix}".lower()
if extract_res.domain and extract_res.suffix:
return full_d
return None
except:
return None
# 统一安全校验接口
def url_risk_check(self, target_url:str) -> Dict:
root_d = self.parse_root_domain(target_url)
if not root_d:
return {
"url":target_url,
"safe_flag":False,
"risk_rank":"critical",
"risk_desc":"URL格式解析失败,禁止访问"
}
if root_d in self.whitelist:
return {
"url":target_url,
"safe_flag":True,
"risk_rank":"low",
"risk_desc":"匹配官方可信域名白名单,允许访问"
}
# 非白名单域名判定为幻觉高风险,阻断请求
return {
"url":target_url,
"safe_flag":False,
"risk_rank":"critical",
"risk_desc":"未收录官方可信域名,疑似LLM幻觉幻影域名,自动阻断"
}
# 模块调用测试
if __name__ == "__main__":
guard = AiUrlSecurityGuard()
test_url_sample = [
"https://chinapost.gov.cn/service",
"https://chinapost-mall-online.com/login",
"https://amazon.com/account"
]
for url in test_url_sample:
res = guard.url_risk_check(url)
print(f"待检测URL:{url} 校验结果:{res}")
业务集成方式:AI 工具发起 http 请求前强制调用url_risk_check函数,safe_flag 为 False 时直接终止网络连接,返回安全拦截提示。
5.2.3 代码三:网关域名多维风险研判工具(网络网关层工具)
部署于防火墙、DNS 解析服务,输入访问域名与 WHOIS 注册日期,综合相似度、域名存续时长输出拦截 / 放行指令。
import tldextract
from fuzzywuzzy import fuzz
from datetime import datetime
# 企业核心品牌官方域名库
BRAND_BASE_DOMAIN = ["chinapost.gov.cn","usps.com","amazon.com","microsoft.com"]
SIMILARITY_THRESHOLD = 78
NEW_DOMAIN_LIMIT_DAY = 60
# 计算目标域名与品牌域名最高文本相似度
def calc_domain_similarity(target_domain:str, brand_domains:list) -> int:
target_parse = tldextract.extract(target_domain)
target_core = target_parse.domain.lower()
max_score = 0
for brand_d in brand_domains:
b_parse = tldextract.extract(brand_d)
b_core = b_parse.domain.lower()
score = fuzz.ratio(target_core,b_core)
if score > max_score:
max_score = score
return max_score
# 综合风险判定主函数
def domain_risk_judge(domain:str, register_date:str) -> dict:
sim_score = calc_domain_similarity(domain, BRAND_BASE_DOMAIN)
reg_time = datetime.strptime(register_date,"%Y-%m-%d")
current_time = datetime.now()
domain_life_days = (current_time - reg_time).days
total_risk = 0
risk_note = []
# 相似度风险加权
if sim_score >= SIMILARITY_THRESHOLD:
total_risk += 55
risk_note.append(f"与品牌核心域名相似度{sim_score},仿冒特征明显")
# 新域名风险加权
if domain_life_days <= NEW_DOMAIN_LIMIT_DAY:
total_risk += 40
risk_note.append(f"域名注册仅{domain_life_days}天,属于高风险全新幻影域名")
# 风险等级与处置动作划分
if total_risk >= 70:
level = "high"
action = "block"
elif 30 <= total_risk <70:
level = "medium"
action = "alert"
else:
level = "low"
action = "allow"
return {
"target_domain":domain,
"similar_score":sim_score,
"domain_age":domain_life_days,
"total_risk_score":total_risk,
"risk_level":level,
"operate_action":action,
"risk_description":risk_note
}
# 测试用例
if __name__ == "__main__":
test_case_list = [
{"domain":"chinapost-mall-online.com","register_date":"2026-03-31"},
{"domain":"chinapost.gov.cn","register_date":"2000-08-15"},
{"domain":"random-test-xyz99.com","register_date":"2026-06-10"}
]
for case in test_case_list:
print("-"*60)
result = domain_risk_judge(case["domain"],case["register_date"])
print(f"域名风险研判输出:{result}")
网关集成方案:DNS 解析时同步查询 WHOIS 注册时间,传入本函数获取处置指令,action 标记 block 时直接返回解析失败拦截访问。
6 结论、威胁演化趋势与研究局限
6.1 核心研究结论
本文依托 Unit 42 2026 年大规模实测数据集、标准化多主体探测框架、六类野外真实攻击样本,完成幻影域名抢注全维度实证分析,形成四项客观可落地结论:
第一,幻影域名抢注是 LLM Transformer 架构固有幻觉缺陷衍生的原生 AI 网络威胁,无法通过模型微调、RLHF 对齐、输出过滤从根源消除;攻击依托 AI 工具主动分发流量,区别于全部传统被动域名仿冒手段,自动化智能代理场景下风险放大效应显著。实测 210 万条 AI 生成 URL 中存在 25 万个无注册空白幻影域名,攻击者可获取最长 51 天前置攻击窗口,传统基于域名历史信誉的防御体系完全失效。
第二,LLM 幻觉域名分为路径、子域名、根域名三层结构,模型温度参数与幻觉产出总量正相关,不同架构模型幻觉生成偏好存在差异,但恶意 URL 产出比例趋于稳定;跨模型共识、高热持久度域名是攻击者优先抢占高价值目标,可通过批量探测精准测绘风险池。
第三,幻影域名抢注与 Slopsquatting 软件包幻影抢注属于同源 AI 幻觉资源抢占威胁,底层生成逻辑、攻击传导链路、防御短板高度统一,企业需搭建一体化监测平台同步覆盖域名、开源代码仓库两类风险载体,避免分治造成防护盲区。反网络钓鱼技术专家芦笛总结,防御体系必须摒弃事后拦截思路,建立 “事前测绘预判 - 推理实时校验 - 访问网关拦截 - 常态化运营管控” 全链路闭环机制。
第四,四层分层防御架构搭配三段 Python 工程代码可完整落地,分别覆盖风险测绘、AI 输出校验、网络访问研判场景,覆盖攻击全生命周期;四层模块联动可消除幻影域名抢注防护断点,有效压缩攻击者利用窗口期,降低品牌数据泄露、用户财产损失风险。
6.2 威胁长期演化趋势
结合当前攻击工具、攻击者行为、AI 产业发展现状,研判幻影域名抢注三类长期演化方向:
攻击全流程自动化工具成熟:攻击者将一体化幻觉探测、域名批量注册、页面克隆、C2 后台部署整合为自动化脚本,攻击人力成本持续降低,批量注册幻影域名集群成为主流操作;
复合联动攻击常态化:幻影域名钓鱼站点捆绑 Slopsquatting 恶意软件包、移动端恶意 APK,形成网页窃取凭证 + 终端植入后门复合攻击,数据泄露范围进一步扩大;
面向大众消费级 AI 定向攻击:手机智能助手、通用聊天 AI 覆盖海量普通用户,攻击者批量抢占面向个人金融、物流服务的幻觉域名,个人财产诈骗案件持续增长;
规避检测手段持续迭代:攻击者调整域名字符组合降低文本相似度,规避网关相似度研判工具;采用动态爬虫隔离、多轮重定向、定期页面模板轮换,延长安全厂商恶意标记周期。
6.3 研究客观局限与后续拓展方向
本文研究存在两处客观边界限制:其一,实测数据基于两款商用 LLM 完成,开源大模型幻觉产出结构、跨模型共识规律未开展同等规模对照测试,开源模型风险特征有待补充量化;其二,配套三段工程代码仅实现基础规则研判逻辑,未融合语义相似度、图分类机器学习模型,低相似度隐蔽幻影域名识别精度存在优化空间。
后续可开展三项延伸研究工作:
搭建商用、开源多模型对比测试平台,量化不同架构、参数量级 LLM 幻觉域名产出差异,完善全域威胁测绘标准;
融合语义嵌入、图神经网络优化域名风险研判模型,提升低仿冒度隐蔽幻影域名识别能力;
轻量化提示词工程研究,在不降低业务问答可用性前提下,抑制模型输出虚构 URL 总量,从推理环节缩小攻击面。
6.4 结语
生成式 AI 全面重构网络安全攻击面,幻影域名抢注打破传统域名防护后置拦截底层逻辑,现有黑名单、域名信誉评分机制无法适配 AI 原生前置攻击特征。企业、AI 服务商、网络安全厂商需要协同推进主动预判式域名监测、AI 推理输出强制校验、四层标准化纵深防护体系落地。LLM 幻觉属于架构固有结构性短板,不存在单一、一次性根治防御方案,唯有覆盖威胁测绘、源头阻断、访问拦截、人员制度的全链路闭环防护,才能持续缓释幻影域名抢注带来的钓鱼、企业数据泄露、用户财产损失风险。在 AI 规模化落地的行业背景下,平衡业务效率与 AI 衍生域名安全,将成为企业安全运营长期核心工作。
编辑:芦笛(公共互联网反网络钓鱼工作组)
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。