Il phantom squatting è una tecnica di attacco che sfrutta una debolezza tipica dei modelli linguistici: la capacità di generare risposte plausibili anche quando il dato richiesto non esiste. In questo caso l’AI non inventa una libreria software, come avviene nello slopsquatting, ma un indirizzo web riferito a un’azienda, a un prodotto, a un servizio di assistenza o a una risorsa online apparentemente credibile. L’attaccante individua questi domini inesistenti, li registra prima che lo faccia qualcun altro e costruisce pagine capaci di intercettare utenti o agenti AI che seguono il suggerimento generato dal modello.
Il meccanismo parte da una richiesta apparentemente normale. Un utente può chiedere all’assistente AI il sito ufficiale di un servizio, il portale di supporto di un’azienda, una pagina per scaricare software, un indirizzo per acquistare un prodotto o il link per contattare un brand. In alcuni casi il modello può produrre un dominio che assomiglia a quello reale, ma che non è mai stato registrato dall’azienda. L’indirizzo può contenere il nome corretto del marchio, una combinazione credibile di parole come “support”, “help”, “login”, “secure” o “portal”, oppure una variazione minima rispetto al dominio ufficiale.
Gli aggressori possono effettuare interrogazioni ripetute su più modelli per individuare gli indirizzi che compaiono più spesso nelle risposte. Quando trovano un dominio inesistente ma ricorrente, lo acquistano e pubblicano una pagina progettata per imitare un sito legittimo. Il dominio non deve necessariamente essere quasi identico a quello vero, come nel tradizionale typosquatting. Può essere del tutto inventato, ma risultare convincente perché è stato suggerito proprio da uno strumento percepito dall’utente come affidabile.
Questo rende il phantom squatting diverso dal semplice phishing. Nelle campagne tradizionali l’attaccante deve spingere la vittima a cliccare un link tramite e-mail, messaggi, annunci o siti compromessi. In questo caso il collegamento malevolo può essere proposto direttamente da un assistente AI durante una normale ricerca informativa. L’utente non riceve quindi un messaggio sospetto da un mittente sconosciuto, ma una risposta apparentemente utile da un sistema che dovrebbe aiutarlo a trovare il sito corretto.
Il rischio aumenta con la diffusione degli agenti AI che non si limitano a fornire informazioni, ma possono eseguire azioni sul web. Un agente che riceve il compito di cercare un servizio, raccogliere dati, scaricare un file, aprire un account o completare un acquisto potrebbe seguire un dominio suggerito dal modello senza applicare un controllo sufficiente sull’identità reale del sito. In questi scenari l’attacco non punta solo a ingannare una persona, ma a deviare un processo automatizzato verso un’infrastruttura controllata dall’aggressore.
Le conseguenze possono includere raccolta di credenziali, furto di dati personali, distribuzione di malware, download di software modificato, intercettazione di pagamenti o reindirizzamento verso pagine che imitano servizi cloud e portali aziendali. Un dominio appena registrato può inoltre non essere ancora presente nei database reputazionali utilizzati da filtri e strumenti di sicurezza, rendendo più difficile identificarlo solo attraverso le tradizionali liste di blocco.
Il fenomeno è collegato allo slopsquatting, una minaccia già osservata nello sviluppo software assistito dall’AI. In quel caso un modello suggerisce una dipendenza inesistente, ad esempio un pacchetto Python o npm con un nome credibile. Un attaccante può pubblicare un pacchetto dannoso con quel nome e attendere che uno sviluppatore esegua il comando di installazione senza verificare l’origine. La stessa logica viene applicata ai domini: non si sfrutta un errore di digitazione umano, ma un errore ricorrente generato dal modello.
Per ridurre il rischio non basta chiedere all’AI di essere più accurata. Le organizzazioni devono trattare indirizzi web, pacchetti software e riferimenti esterni suggeriti dai modelli come dati da verificare. Per i domini è necessario controllare che il sito appartenga realmente al soggetto indicato, confrontando l’indirizzo con canali ufficiali, pagine istituzionali, documentazione del fornitore e riferimenti pubblicati dall’azienda. Per gli agenti AI diventa importante limitare la possibilità di navigare o compiere azioni su domini non presenti in elenchi autorizzati, soprattutto quando sono coinvolti login, download, pagamenti o dati riservati.
Sul piano tecnico, le difese più efficaci includono allowlist di domini affidabili, verifica dell’età e della reputazione dei siti, controllo dei certificati, analisi delle catene di reindirizzamento, scansione dei contenuti scaricati e separazione tra la fase in cui l’AI suggerisce una risorsa e quella in cui un sistema può realmente utilizzarla. Un assistente può indicare un link, ma un processo aziendale non dovrebbe considerarlo automaticamente attendibile solo perché è stato prodotto da un modello linguistico.
Il phantom squatting mostra che le allucinazioni dell’intelligenza artificiale non sono soltanto un problema di precisione delle risposte. Quando un’informazione inesatta viene trasformata in un dominio registrabile, in un pacchetto installabile o in un’azione automatica, l’errore può diventare una superficie di attacco concreta. La sicurezza dei sistemi AI non dipende quindi soltanto dalla protezione del modello, ma anche dalla capacità di verificare tutto ciò che il modello suggerisce di usare nel mondo esterno.
