Как работи атаката
font-rendering attack използва специфична манипулация на шрифтове и CSS, за да скрие злонамерени команди от AI асистенти, като ги показва само на потребителя в браузъра. Техниката разчита на социално инженерство и се базира на разликата между визуалното представяне на страницата и структурния HTML, който AI анализира.
Механизмът включва:
-
Замяна на символи чрез custom font glyph substitution
-
Скриване на безопасен текст чрез малък размер или цветови трикове
-
Кодиране на опасната команда така, че AI вижда безобиден HTML, а браузърът визуализира зловредния текст
Тази стратегия позволява на атакуващите да подведат потребителя да изпълни команда, например за reverse shell, докато AI асистентът остава невъзмутим и уверява жертвата, че инструкцията е безопасна.
Потенциално засегнати AI инструменти
По данни на компанията LayerX, атаката е успешна срещу няколко популярни AI асистента към декември 2025, включително:
-
ChatGPT
-
Claude
-
Microsoft Copilot
-
Gemini
-
Leo
-
Grok
-
Perplexity
-
Sigma
-
Dia
-
Fellou
-
Genspark
AI асистентите анализират само структурния текст, а визуално манипулираният контент остава извън обсега им.
Пример от реална демонстрация
LayerX създава PoC страница, която обещава „easter egg“ в играта Bioshock при следване на инструкциите на екрана. Докато AI вижда безопасен текст в HTML, потребителят вижда опасна команда чрез:
-
Custom font, която декодира кода визуално
-
Скрит CSS текст, който остава незабелязан за AI
Това подчертава разрив между визуално съдържание и DOM, водещ до:
-
неправилни AI оценки за безопасност
-
потенциални опасни препоръки
-
ерозия на доверието към ИИ
Реакцията на вендорите
-
Microsoft: приела доклада и го адресирала чрез MSRC, считано за решен проблем
-
Google: първоначално с висок приоритет, но впоследствие затворила случая, обосновавайки се с „надценена зависимост от социално инженерство“
-
Други AI вендори: считат го за извън обхвата
AI асистентите не трябва да се използват безкритично, особено при взаимодействие с непознати уеб страници.
Рекомендации на LayerX за защита
За да се противодейства на font-rendering атаки:
-
LLM анализира едновременно визуализацията и HTML – сравняване на DOM с визуално изобразения текст
-
Разширяване на парсерите за проверка на:
-
foreground/background цветови съвпадения
-
near-zero opacity елементи
-
малък размер на шрифтове
-
-
Третиране на шрифтовете като потенциална повърхност за атака
Комбиниран подход между визуален и структурен анализ значително намалява риска от зловредни инструкции, скрити от AI.
Нови уязвимости в хибридните интерфейси
Тази атака подчертава три важни тенденции:
-
AI асистентите не разбират визуалния контекст – ограничение на LLM архитектурата
-
Социалното инженерство остава основен инструмент за компрометиране на потребителя
-
Браузърът и HTML рендерингът стават повърхност за атаки, която изисква интегрирани защитни мерки
Организациите и разработчиците на LLM трябва да възприемат multi-layer анализ на уеб съдържание като нов стандарт за сигурност.
