聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

LayerX公司的研究人员发现一种新型攻击技术利用了AI网页助手的一个根本性盲点：浏览器为用户呈现的内容与AI工具实际从底层HTML读取的内容之间存在差异。

研究人员注意到，仅需一个自定义字体文件和基础CSS，攻击者便能悄无声息地向用户传递恶意指令，而AI安全检查看到的却只有无害内容。

2025年12月，研究人员测试发现，该新型攻击利用的是网页DOM文本与其视觉呈现之间的结构性脱节。当AI助手分析网页时，它解析的是原始的HTML结构；而浏览器则通过视觉渲染管道呈现同一个页面，管道会解析字体、CSS和字形映射，最终生成用户在屏幕上实际看到的内容。攻击者可以将这两个视图之间的空间武器化。

LayerX公司构建 PoC 页面演示称，该页面在访客看来是一个《生化奇兵》电子游戏同人小说网站。但实际上在这一表象之下，隐藏着一个充当视觉替换密码的自定义字体。

该字体被设计为：将普通的HTML文本（即游戏同人小说内容）显示为1像素大小、与背景色相同的乱码，对用户不可见；同时，将另一个独立的编码载荷渲染为清晰可见的、巨大的绿色文本，诱导用户在自已的机器上执行反向Shell。

AI助手无一幸免

所有接受测试的非智能体AI助手，包括ChatGPT、Claude、Copilot、Gemini、Grok、Perplexity等，均未能检测到该威胁。在许多情况下，这些助手甚至鼓励用户遵循屏幕上显示的恶意指令。

这类攻击无需使用JavaScript、漏洞利用工具包、利用浏览器漏洞即可执行。浏览器的行为完全符合设计规范，但缺陷在于，AI工具将DOM文本视为用户所见内容的完整呈现，而事实上渲染层可以承载完全不同的信息。

2025 年 12 月，LayerX 负责任地向所有主要 AI 供应商报告了研究发现。各方的回应揭示出当前在 AI 安全定义方式上存在一个令人担忧的情况：

厂商	回应
Microsoft	接受漏洞报告；要求完整的90天修复期限。
Google	最初判定为P2（高），之降级并在2026年1月27日关闭工单。
OpenAI	以“超出范围”为由驳回，认为影响不足以进行分类处理。
Anthropic	以属于社会工程学攻击、明确超出范围为由驳回。
xAI	驳回；并引导联系safety@x.ai。
Perplexity	归类为已知的LLM局限问题，而非漏洞。

微软是唯一一家全面处理该问题并遵循完整披露时间线的供应商。这种攻击造成的最直接风险在于AI助力的社会工程学攻击——当攻击者诱骗AI为恶意页面担保时，他们实际上是在借用AI的信任声誉来操控用户。随着AI辅助工具和浏览器助手深度融入企业安全工作流程，这些仅依赖文本分析的工具便制造出了攻击者可以稳定利用的盲点。

LayerX建议AI供应商实施双模式渲染与差异分析，将自定义字体视为潜在威胁面，扫描基于CSS的内容隐藏技术（例如接近零的不透明度以及与背景色相同的文本），尤其在无法验证页面的完整渲染上下文时，避免给出确定性的结论。

 开源卫士试用地址：https://oss.qianxin.com/#/login

 代码卫士试用地址：https://sast.qianxin.com/#/login

---

推荐阅读

微软：AI已用于攻击的每个阶段

AI 编程助手 Cline CLI 2.3.0遭篡改，悄悄安装 OpenClaw

AI 助手OpenClaw 易遭一次点击 RCE 攻击

ChatGPT Atlas 浏览器漏洞可用于植入恶意命令并执行任意代码

LegalPwn：利用法律免责条款，操纵ChatGPT等主流AI工具执行恶意代码

原文链接

https://cybersecuritynews.com/custom-font-poison-ai-systems/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~