في تطور خطير يكشف عن وجه جديد للهجمات السيبرانية، أظهرت أبحاث حديثة أن المهاجمين بدأوا باستغلال ظاهرة “هلوسة” النماذج اللغوية الكبيرة (LLMs) التي تولّد أسماء نطاقات غير موجودة أصلًا، عبر ما يُعرف بـ Phantom Squatting. هذه التقنية تتيح للمهاجمين تسجيل تلك النطاقات الوهمية قبل أي جهة أخرى، ثم استخدامها في استضافة صفحات تصيّد أو برمجيات خبيثة، مستفيدين من الثقة التي يمنحها المستخدمون لروابط يقدّمها الذكاء الاصطناعي.
كيف يعمل الاستحواذ الوهمي
بحسب تقرير وحدة Unit 42 التابعة لشركة Palo Alto Networks، تكمن خطورة هذه التقنية في أن النطاقات الجديدة لا تمتلك سجلًا أو سمعة سابقة، ما يجعل أنظمة الحماية وقوائم الحظر عاجزة عن رصدها فورًا. وبمجرد أن يقوم المستخدم أو المطوّر بفتح الرابط الذي اقترحه نموذج الذكاء الاصطناعي، يكون قد وقع في فخ التصيّد دون الحاجة إلى رسالة بريد إلكتروني خبيثة أو إعلان مزيف. الأخطر أن هذه النطاقات لا تأتي من بيانات التدريب، بل من أنماط لغوية متكررة داخل النماذج نفسها، ما يجعلها قابلة للتنبؤ بسهولة. وبذلك يستطيع المهاجمون معرفة النطاقات التي ستخترعها النماذج مستقبلًا، والتسابق لتسجيلها.
أمثلة واقعية على الهجمات
رصد الباحثون حالتين بارزتين:
- في 8 مارس 2026، توقعت أنظمة Unit 42 أن النماذج ستخترع نطاقًا يشبه موقع خدمة بريد وطنية. وبعد 23 يومًا فقط، سجّل مهاجم ذلك النطاق وأطلق مجموعة تصيّد باسم “Montana Empire”، مستنسخًا واجهة المتجر الأصلي وسارقًا بيانات بطاقات مصرفية وأرقام هوية وطنية.
- في حالة أخرى، تم رصد نطاق وهمي قبل 51 يومًا من تسجيله من قبل مهاجم، الذي أنشأ نسخة مطابقة لموقع رسمي وأضاف تقييمًا مزيفًا بـ 4.8 نجوم، ليستخدمه في نشر تطبيق أندرويد خبيث.
كما تم اكتشاف نطاقات تستهدف بنوكًا في الإمارات وأوروبا، إضافة إلى مواقع مراهنات رياضية موجهة لمستخدمين في بنغلاديش.
امتداد لأساليب قديمة
يُعد Phantom Squatting امتدادًا لأسلوب معروف باسم Slopsquatting، حيث يسجّل المهاجمون أسماء حزم برمجية وهمية تقترحها أدوات البرمجة المدعومة بالذكاء الاصطناعي. دراسة من مؤتمر USENIX أثبتت أن النماذج تولّد أسماء حزم غير موجودة، وقد استغلّت حملة “PhantomRaven” ذلك عبر نشر برمجيات خبيثة في 126 حزمة npm جرى تحميلها أكثر من 86 ألف مرة.
ما الذي يجب فعله؟
يشير الخبراء إلى أن الحل يكمن في التعامل مع مخرجات الذكاء الاصطناعي بحذر شديد:
- عدم الثقة في أي رابط لمجرد أن النموذج اقترحه، بل يجب التحقق من أنه النطاق الرسمي.
- منع الوكلاء الذكيين من فتح أو تحميل روابط مولّدة تلقائيًا دون مراجعة بشرية.
- اعتبار كل ما يكتبه النموذج مسودة غير موثوقة حتى يتم التحقق منها. كما يمكن لفرق الأمن السيبراني رسم خريطة للنطاقات الوهمية التي قد تولّدها النماذج ومراقبة تسجيلها، ما يمنح المدافعين نافذة زمنية للتصرف قبل أن يستغلها المهاجمون.






























