聚焦源代码安全网罗国内外最新资讯编译代码卫士LayerX公司的研究人员发现一种新型攻击技术利用了AI网页助手的一个根本性盲点浏览器为用户呈现的内容与AI工具实际从底层HTML读取的内容之间存在差异。研究人员注意到仅需一个自定义字体文件和基础CSS攻击者便能悄无声息地向用户传递恶意指令而AI安全检查看到的却只有无害内容。2025年12月研究人员测试发现该新型攻击利用的是网页DOM文本与其视觉呈现之间的结构性脱节。当AI助手分析网页时它解析的是原始的HTML结构而浏览器则通过视觉渲染管道呈现同一个页面管道会解析字体、CSS和字形映射最终生成用户在屏幕上实际看到的内容。攻击者可以将这两个视图之间的空间武器化。LayerX公司构建 PoC 页面演示称该页面在访客看来是一个《生化奇兵》电子游戏同人小说网站。但实际上在这一表象之下隐藏着一个充当视觉替换密码的自定义字体。该字体被设计为将普通的HTML文本即游戏同人小说内容显示为1像素大小、与背景色相同的乱码对用户不可见同时将另一个独立的编码载荷渲染为清晰可见的、巨大的绿色文本诱导用户在自已的机器上执行反向Shell。AI助手无一幸免所有接受测试的非智能体AI助手包括ChatGPT、Claude、Copilot、Gemini、Grok、Perplexity等均未能检测到该威胁。在许多情况下这些助手甚至鼓励用户遵循屏幕上显示的恶意指令。这类攻击无需使用JavaScript、漏洞利用工具包、利用浏览器漏洞即可执行。浏览器的行为完全符合设计规范但缺陷在于AI工具将DOM文本视为用户所见内容的完整呈现而事实上渲染层可以承载完全不同的信息。2025 年 12 月LayerX 负责任地向所有主要 AI 供应商报告了研究发现。各方的回应揭示出当前在 AI 安全定义方式上存在一个令人担忧的情况厂商回应Microsoft接受漏洞报告要求完整的90天修复期限。Google最初判定为P2高之降级并在2026年1月27日关闭工单。OpenAI以“超出范围”为由驳回认为影响不足以进行分类处理。Anthropic以属于社会工程学攻击、明确超出范围为由驳回。xAI驳回并引导联系safetyx.ai。Perplexity归类为已知的LLM局限问题而非漏洞。微软是唯一一家全面处理该问题并遵循完整披露时间线的供应商。这种攻击造成的最直接风险在于AI助力的社会工程学攻击——当攻击者诱骗AI为恶意页面担保时他们实际上是在借用AI的信任声誉来操控用户。随着AI辅助工具和浏览器助手深度融入企业安全工作流程这些仅依赖文本分析的工具便制造出了攻击者可以稳定利用的盲点。LayerX建议AI供应商实施双模式渲染与差异分析将自定义字体视为潜在威胁面扫描基于CSS的内容隐藏技术例如接近零的不透明度以及与背景色相同的文本尤其在无法验证页面的完整渲染上下文时避免给出确定性的结论。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读微软AI已用于攻击的每个阶段AI 编程助手 Cline CLI 2.3.0遭篡改悄悄安装 OpenClawAI 助手OpenClaw 易遭一次点击 RCE 攻击ChatGPT Atlas 浏览器漏洞可用于植入恶意命令并执行任意代码LegalPwn利用法律免责条款操纵ChatGPT等主流AI工具执行恶意代码原文链接https://cybersecuritynews.com/custom-font-poison-ai-systems/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~