(问题) 随着生成式工具和智能助手快速进入办公、开发与信息检索等场景,越来越多用户在复制或运行脚本、命令前,会先让智能助手帮忙“查一遍”;但安全厂商LayerX近期披露的一种“字体渲染”攻击表明,攻击者不需要利用浏览器漏洞,就能让用户与智能助手“看到不同内容”,从而绕过审查并放大误导风险。其关键在于:用户依据浏览器呈现的视觉内容作出操作决策,而智能助手分析网页时通常读取页面底层的结构化文本,二者之间的“信息差”可被攻击者利用。 (原因) 按照披露信息,这条攻击链主要由两类前端手段组合完成:一是定制字体文件的字形映射,二是基础CSS样式控制。攻击者可以篡改字体字形与字符的对应关系,让看上去“无害”的文本在渲染后变成另一段可读指令;再通过CSS把真正会被智能助手读取的内容缩到极小字号、设成接近背景的颜色或放到不可见区域,同时把希望用户执行的“载荷内容”放大并置于醒目位置。结果是,智能助手抓取到的往往是“看似正常”的底层文本,从而给出偏乐观的判断;而用户在页面上看到的,则可能是经过包装的高危命令或脚本。 不容忽视的是,这类攻击不依赖脚本执行权限,也不需要Java或浏览器漏洞,实施门槛更低,但隐蔽性更强。其本质是把传统网络钓鱼从“诱导点击、窃取账号”扩展到“诱导人机协作决策”:攻击者利用用户对智能助手结论的信任,把智能助手变成“背书工具”,推动用户完成最后一步的本地执行。 (影响) LayerX还展示了以游戏彩蛋为诱饵的钓鱼页面:用户准备复制并运行一段代码时,先请智能助手评估风险。由于智能助手读取到的是被隐藏的“无害版本”,可能给出“安全”或“风险较低”的结论,从而降低用户戒心。业内人士指出,一旦这类手法在开发者社区、技术论坛、代码分享站点等高频复制粘贴场景扩散,可能引发本地数据泄露、环境配置被篡改、终端被植入后门等连锁风险,影响范围从个人设备延伸到企业研发网络。 在处置层面,LayerX表示已于2025年12月16日向有关厂商报告问题。部分企业已采取加固措施并完成修复,显示对“视觉欺骗+社会工程”组合风险的重视;也有企业评估后认为该问题更依赖诱导而非直接技术漏洞,不构成重大影响或超出防护边界,因此选择不跟进。这种分歧也折射出一个现实难题:当攻击不再单点依赖系统漏洞,而是利用“内容呈现差异”和用户行为链路时,安全责任如何界定、风险如何量化,仍缺少统一标准。 (对策) 受访安全人士建议,从产品与用户两端同时补齐短板。产品侧可强化“所见即所得”的校验能力:其一,引入渲染一致性检测,必要时对DOM文本与最终渲染结果进行比对;其二,对可疑字体文件、异常字形映射、极端样式隐藏等行为建立规则与模型结合的告警机制;其三,当输出涉及命令执行、脚本运行、系统配置等高风险建议时,默认采用更严格策略,例如提示用户核对来源、提供最小权限与隔离运行方案,并要求展示原始网页文本与截图对照等。 平台与生态侧可考虑建立更清晰的受理与分级框架,将“高可用社会工程、低技术门槛、高潜在损害”的复合风险纳入评估,并推动跨厂商共享攻击特征与处置经验。代码托管、论坛与内容分发平台也应加强对可疑网页与“复制即用”诱导内容的审核与风险提示,降低传播效率。 用户侧仍需遵循基本安全原则:对来源不明网页上的命令和脚本保持谨慎;不要把智能助手的判断当作最终结论;涉及终端命令、权限提升、下载执行等操作时,优先在沙箱或隔离环境验证,并交叉核对多方信息与官方文档。企业用户可通过终端管控、最小权限、命令审计、网络隔离与安全培训,降低“最后一公里”执行风险。 (前景) 业内普遍认为,随着智能助手从“问答工具”走向“工作流入口”,攻击面会从传统系统漏洞深入转向人机协作链路的薄弱环节。字体渲染攻击提醒行业:安全对抗正在从“攻破系统”转向“操纵认知”,从“利用漏洞”转向“利用差异”。未来,智能服务提供方需要把防护视角前移到内容呈现、交互设计与风险沟通,建立可解释、可核验的安全机制;监管与行业组织也有必要推动统一的风险分级与协同响应规则,为新型复合攻击提供可落地的治理路径。
当人工智能逐渐成为数字时代的“基础设施”,安全已不只是技术议题,也关系到社会信任的稳固;此次字体渲染攻击像一面镜子:一方面暴露了新能力带来的新脆弱点,另一方面也凸显了人机协作中的认知落差。在智能化持续加速的背景下,既要用技术手段补上防线,也要保持对风险的基本警惕,才能在释放效率红利的同时守住安全底线。这不仅是产业必须回答的问题,也是数字社会走向成熟的必修课。