%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
安全廠商 LayerX 近日披露了一種名爲“字體渲染”的新型攻擊手法。黑客利用自定義字體和 CSS 樣式巧妙僞裝惡意指令,已成功誤導 ChatGPT、Claude 及 Copilot 等多款主流 AI 工具,使其向用戶提供錯誤的安全性建議。
該攻擊的核心在於利用 AI 抓取底層文本與用戶看到渲染畫面的差異:
字形映射篡改:攻擊者修改自定義字體文件,將正常的字母渲染成亂碼,同時將隱藏的惡意載荷(如高危命令)渲染成看似無害的可讀指令。
CSS 視覺控制:利用極小字號或特定顏色隱藏網頁中的真實文本,並放大惡意載荷。
後果:AI 助手讀取到的是經過僞裝的無害內容,從而得出“安全”的評估結論;而用戶在瀏覽器中看到的卻是黑客精心構造的危險指令。
LayerX 展示了一個以遊戲彩蛋爲誘餌的釣魚頁面,誘導用戶運行一段代碼。當受害者要求 AI 評估該代碼時,由於 AI 無法識別隱藏的惡意邏輯,會給出“絕對安全”的答覆,最終導致受害者在本地設備執行反向 shell 等高危命令。
LayerX 於2025年12月向相關廠商報告了該漏洞,但響應情況大相徑庭:
微軟:唯一一家積極響應並已完全修復該漏洞的企業。
谷歌及其他廠商:谷歌最初將其定爲高危,後以“過度依賴社會工程學”爲由降級並關閉處理;多數廠商則認爲這超出了其安全防範範圍。
安全專家提醒,用戶在處理 AI 評估的網頁腳本時仍需保持警惕,不可完全依賴 AI 的合規性審查。