安全厂商 LayerX 近日披露了一种名为“字体渲染”的新型攻击手法。黑客利用自定义字体和 CSS 样式巧妙伪装恶意指令，已成功误导 ChatGPT、Claude 及 Copilot 等多款主流 AI 工具，使其向用户提供错误的安全性建议。

该攻击的核心在于利用 AI 抓取底层文本与用户看到渲染画面的差异:

• 字形映射篡改:攻击者修改自定义字体文件，将正常的字母渲染成乱码，同时将隐藏的恶意载荷（如高危命令）渲染成看似无害的可读指令。

• CSS 视觉控制:利用极小字号或特定颜色隐藏网页中的真实文本，并放大恶意载荷。

• 后果:AI 助手读取到的是经过伪装的无害内容，从而得出“安全”的评估结论;而用户在浏览器中看到的却是黑客精心构造的危险指令。

LayerX 展示了一个以游戏彩蛋为诱饵的钓鱼页面，诱导用户运行一段代码。当受害者要求 AI 评估该代码时，由于 AI 无法识别隐藏的恶意逻辑，会给出“绝对安全”的答复，最终导致受害者在本地设备执行反向 shell 等高危命令。

LayerX 于2025年12月向相关厂商报告了该漏洞，但响应情况大相径庭:

• 微软:唯一一家积极响应并已完全修复该漏洞的企业。

• 谷歌及其他厂商:谷歌最初将其定为高危，后以“过度依赖社会工程学”为由降级并关闭处理;多数厂商则认为这超出了其安全防范范围。

安全专家提醒，用户在处理 AI 评估的网页脚本时仍需保持警惕，不可完全依赖 AI 的合规性审查。