Amikor az AI rossz bejelentkezési oldalt ajánl. Következetesen ugyanazt a rosszat.

Kérdezd meg egy chatbottól, hol léphetsz be a bankodba.

Háromból egyszer olyan domaint mond, amely nem a banké.

Nincs elgépelés. Nincs prompt injection. Ez az alapértelmezett válasz, teljes magabiztossággal.

---

És mindenkinek ugyanúgy téved, aki megkérdezi.

2025 júliusában a Netcraft az OpenAI GPT-4.1 családjába tartozó modelltől 50 márka bejelentkezési oldalát kérdezte le. 131 hosztnevet kapott vissza. Kétharmaduk helyes volt. A többi nem: a javasolt domainek közel harminc százaléka regisztrálatlan, parkoltatott vagy inaktív volt, további öt százalék pedig független cégekhez tartozott. A válaszok harmada oda mutatott, ahol a márkának semmilyen ellenőrzése nincs.

Egy szabad domain nem zsákutca. Hanem egy kiaknázatlan lehetőség.

---

És itt kezdődik a domain-probléma.

A folyton változó téves válasz pusztán zaj.

A következetesen ismétlődő téves válasz viszont már egy cím.

Ha egy modell folyamatosan több ezer embert küld ugyanarra a gazdátlan domainre, a legolcsóbb biztonsági lépés az, hogy regisztrálod és vársz.

Tíz dollárból meg is vehető az a belépő, amelyet a gép folyamatosan ajánlgat.

Egy névtérrel arrébb ez már meg is történt.

2024 márciusában egy kutató, Bar Lanyado arra lett figyelmes, hogy az AI-asszisztensek rendszeresen egy nem létező Python-csomagot ajánlanak: a huggingface-cli-t.

A szabad nevet végül ő maga regisztrálta be.

Három hónap leforgása alatt több mint 30 000 valódi letöltést generált.

Még az Alibaba egyik nyilvános kutatási repója is ezt szerepeltette a telepítési útmutatójában.

A csomag teljesen ártalmatlan volt; Lanyado csak azért hozta létre, hogy bizonyítsa az elméletét. Egy támadó viszont nem lett volna ilyen jóindulatú.

---

A modell kitalál egy domainnevet, elegen megbíznak benne, és - akié a domain, azé a forgalom.

Egy 2025-ös USENIX-tanulmányban 16 modellt teszteltek 576 000 kódmintán, és összesen 205 474 különböző, hallucinált csomagnevet gyűjtöttek ki.

Ugyanez a mechanizmus hozza létre a hallucinált domaineket is.

A legkézenfekvőbb védekezés – az összes létező variáció előzetes lefoglalása – a számok tükrében azonnal elbukik. A variációk száma ugyanis végtelen, az MI válaszai pedig pont azokat az intő jeleket tüntetik el, amelyeknek az ellenőrzésére a felhasználókat betanították: a látható URL-t, a domain korát és a hírnevét.

Egyelőre a téves válasz csupán egy javaslat, amit az ember még felülbírálhat.

Ez az időablak azonban rohamosan szűkül.

Ahogy az AI-k a puszta javaslattételtől áttérnek a cselekvésre – domaineket regisztrálnak, szoftvercsomagokat töltenek le, vagy épp automatizált folyamatok részeként pénzt utalnak –, a hallucinált név többé már nem egy javaslat, hanem maga a tranzakció lesz. Valódi pénzzel a háttérben, és a hozzá társuló jogi felelősséggel.

---

Egy domain értéke eddig azon múlt, hogy mit gépelnek be az emberek a böngészőbe.

Mostantól viszont a gép adja meg a választ, és minden kérdezőnek hajszálpontosan ugyanazt: ugyanazokat a jó, és ugyanazokat a téves válaszokat.

A kiszámíthatóság itt sokkal veszélyesebb, mint a véletlenszerűség. Egy támadónak nincs más dolga, mint beregisztrálni a gép kedvenc tévedését – aztán várni.