文章总结： 安全厂商LayerX披露了一种新型AI攻击手法，攻击者利用自定义字体和CSS样式伪装恶意代码，欺骗ChatGPT、Claude等AI工具给出错误的安全评估，从而诱导用户执行高危命令。该漏洞已于2025年12月报告，但多数厂商以超出防范范围为由拒绝处理，仅微软已修复。 综合评分： 85 文章分类： AI安全,WEB安全,社会工程学,恶意软件,安全大事件

【安全圈】“ AI 刺客”漏洞披露：小字等方式伪装实现执行恶意代码

安全圈

2026年3月18日 19:01 江苏

关键词

AI安全

安全厂商 LayerX 披露新型 ” 字体渲染 ” 攻击手法，利用自定义字体和 CSS 样式，巧妙伪装恶意指令，成功骗过 ChatGPT、Claude、Copilot 等多款主流 AI 工具。

这种攻击的核心在于制造 ” 信息差 “：AI 助手抓取的是网页底层的结构化文本，而用户看到的是浏览器渲染后的视觉画面。黑客借此向 AI 隐藏真实意图，导致 AI 向用户提供危险建议。

攻击者无需依赖 JavaScript 或任何浏览器漏洞，仅利用自定义字体和基础 CSS，就能在网页渲染层向用户隐藏并展示恶意指令。

攻击者通过修改自定义字体文件中的字形映射，将原本正常的英文字母渲染成乱码，同时将隐藏的恶意载荷显示为可读指令。

随后，他们利用 CSS（如极小字号或特定颜色）隐藏无害内容，并放大恶意载荷。结果是，纯文本解析器（AI）看到的是安全内容，而用户在浏览器中运行的却是攻击者控制的危险指令。

这样一来，AI 工具在分析网页时只能读取到被伪装的无害内容，而浏览器却会将经过特殊编码的恶意指令清晰地展示给普通用户。

LayerX 设计了一个以《生化奇兵》游戏 ” 彩蛋 ” 为诱饵的钓鱼页面。该页面诱导用户复制并运行一段代码。当受害者出于谨慎，要求 AI 助手评估该指令的安全性时，AI 由于只能读取到隐藏的无害代码，便会给出 ” 绝对安全 ” 的误导性答复。这种手法高度依赖社会工程学，利用了用户对 AI 工具的信任，从而诱导受害者在本地设备上执行反向 shell 等高危命令。

LayerX 于 2025 年 12 月 16 日向受影响的 AI 厂商报告了这一漏洞，但各方反应差异巨大。微软是唯一一家积极响应并完全修复该问题的企业。

相比之下，谷歌最初将其评为高危漏洞，随后却以 ” 不会造成重大用户伤害 ” 及 ” 过度依赖社会工程学 ” 为由将其降级并关闭，多数其他厂商也以超出安全防范范围为由拒绝处理。

END

阅读推荐

【安全圈】360 回应“安全龙虾”私钥泄露事件：涉事证书已吊销，普通用户不受影响

【安全圈】美伊冲突 | 美国军事后勤机密文件

【安全圈】加拿大零售商 Loblaw 数据泄露影响客户信息

【安全圈】央视曝光“AI伪造人脸”大案：5万多条动态人脸视频被批量合成，冒充本人注册账号

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】“ AI 刺客”漏洞披露：小字等方式伪装实现执行恶意代码》