【安全资讯】新型字体渲染攻击可隐藏恶意指令，欺骗AI助手

概要：

随着AI助手在日常网络安全评估中扮演越来越重要的角色，攻击者也在寻找新的方法来规避其检测。近期，一种创新的字体渲染攻击技术被披露，它能够将恶意指令隐藏在网页的视觉呈现层中，从而成功欺骗包括ChatGPT、Claude在内的主流AI助手，使其无法识别潜在风险，可能导致用户执行危险命令。

主要内容：

浏览器安全公司LayerX的研究人员设计了一种概念验证攻击。该技术利用自定义字体，通过字形替换重新映射字符，并结合CSS样式（如极小的字体尺寸或特定颜色选择）来隐藏无害的文本内容。同时，攻击载荷却在网页上清晰显示给用户。

其核心原理在于AI助手与浏览器渲染机制之间的差异。AI工具通常分析网页的底层HTML文档对象模型，而浏览器则将代码渲染成用户可见的视觉页面。攻击者正是利用了这一“断层”，在不改变DOM结构的前提下，通过字体编码在视觉层嵌入恶意指令，使其对AI工具呈现为无意义的乱码，但对用户却显示为可读的命令。

在测试中，该技术成功绕过了多个流行AI助手的安全分析。攻击通常始于一个看似安全的诱饵页面，例如承诺提供游戏彩蛋，诱导用户复制并执行一个用于建立反向Shell的恶意命令。当受害者咨询AI助手该指令是否安全时，由于AI只“看到”了DOM中隐藏的无害文本，会给出错误的安全保证。

LayerX已将发现报告给相关厂商。微软已完全解决了该问题，而谷歌等其他厂商则认为该攻击过度依赖社会工程学，未予高度重视。研究人员建议，AI模型应同时分析渲染后的页面和纯文本DOM并进行比对，以提升安全性，并将字体处理、颜色匹配及微小字体检测纳入安全解析器的扫描范围。