安全厂商LayerX近日披露了一种名为“字体渲染”的新攻击手法。黑客通过自定义字体文件和CSS样式,巧妙地将恶意指令隐藏在看似无害的乱码中,成功误导了包括ChatGPT、Claude和Copilot在内的主流AI工具,使其向用户提供错误的安全建议。
该攻击的核心在于利用AI读取文本与用户屏幕上渲染视觉内容之间的差异:
- 字符映射篡改:攻击者修改自定义字体文件,将正常字母显示为乱码,同时将隐藏的恶意负载(如危险命令)以看似无害的可读指令呈现。
- CSS视觉控制:黑客通过极小的字体大小或特定颜色隐藏网页上的真实文本,同时放大恶意负载的显示。
- 攻击后果:AI助手读取的是伪装成无害内容的文本,因而评估为“安全”;但用户浏览器中看到的却是黑客精心设计的危险指令。
LayerX演示了一个钓鱼页面,利用游戏彩蛋作为诱饵,诱导用户执行一段代码。当受害者请求AI评估该代码时,AI未能识别隐藏的恶意逻辑,错误地回复“完全安全”,最终导致受害者在本地设备上执行了如反向Shell等高风险命令。
LayerX于2025年12月向相关厂商报告了该漏洞,但各方响应差异明显:
- 微软:唯一迅速响应并已全面修复该漏洞的公司。
- 谷歌及其他厂商:谷歌最初将其定为高风险,随后降级并关闭案件,理由是“过度依赖社会工程学”;多数其他厂商则认为该漏洞不属于其安全范围。
安全专家提醒用户,在处理AI评估的网页脚本时应保持警惕,不应完全依赖AI进行合规性审核。
