Управляющее резюме: Исследователи LayerX обнаружили, как простой пользовательский шрифт может поставить под угрозу любую систему искусственного интеллекта на рынке. Используя лишь пользовательский шрифт и простой CSS, мы создали веб-страницу, на которой браузер отображает инструкции, которые заставят пользователя запустить обратную оболочку, в то время как текст DOM, проанализированный инструментами ИИ, содержит безобидные фанфики по видеоиграм. 

Вредоносные инструкции существуют только на уровне рендеринга, и ни один из протестированных нами веб-ассистентов на основе ИИ не смог обнаружить угрозу. Шрифты — это хорошо известный вектор атаки для распространения вредоносного ПО, и наше исследование показало, как их также можно использовать для быстрого внедрения и отравления систем ИИ. В результате любая система ИИ, включая ChatGPT, Claude, Gemini и другие, может стать целью этой атаки, что может привести к потенциальной утечке данных и/или выполнению вредоносного кода.

Компания LayerX связалась со всеми поставщиками, затронутыми нашим исследованием. Однако, за исключением Microsoft, все они объяснили, что это выходит за рамки того, что они считают безопасностью моделей ИИ, и связано с социальной инженерией, что еще раз демонстрирует несоответствие между тем, что защищают платформы ИИ, и тем, что, по мнению пользователей, они защищают. 

Одетый для убийства: разрыв в рендеринге ИИ

Существует структурное несоответствие между тем, что анализирует ИИ-помощник в HTML-коде страницы, и тем, что пользователь видит в отображении браузера. В определенных сценариях такие помощники могут давать неточные и потенциально опасные ответы пользователям, и злоумышленники могут использовать это ограничение для проведения атак с применением методов социальной инженерии.

Используя пользовательский шрифт и CSS, HTML-текст может визуально преобразовываться для пользователя, но при этом оставаться неизменным в DOM. Когда страница отображается в браузере, то, что видит пользователь, полностью отличается от исходного HTML-кода. Да, контент по-прежнему присутствует, но фактически он удаляется из поля зрения пользователя.

Мы создали прототип страницы, которая выглядит как фанфик по видеоигре, но при отображении в браузере предлагает пользователю выполнить действия, которые приведут к получению обратной оболочки. На вопрос о безопасности страницы все протестированные нами неагентные помощники (ChatGPT, Claude, Copilot, Dia, Fellou, Gemini, Genspark, Grok, Leo, Perplexity и Sigma) не смогли обнаружить «скрытый» текст и уверенно заявили пользователю, что страница не представляет угрозы безопасности. Тестирование проводилось в декабре 2025 года.

Искусственный интеллект анализирует веб-страницу как структурированный текст, а браузер отображает эту веб-страницу в визуальном виде для пользователя. На этом этапе рендеринга злоумышленники могут изменять видимую человеку информацию. вещества страницы без изменения базового DOM.

Такое несоответствие между тем, что видит ассистент, и тем, что видит пользователь, приводит к неточным ответам, опасным рекомендациям и подрыву доверия.

Это не уязвимость браузера и не связана с ошибкой парсинга. Браузер работает точно так, как и был задуман. Уязвимость заключается в инструментах, которые предполагают, что текст DOM полностью отражает видимое пользователю значение.

*Под неагентными помощниками мы подразумеваем системы, которые получают и анализируют HTML-код, но не выполняют полный цикл рендеринга в браузере и не анализируют пользовательские сопоставления символов шрифтов.

Сценарий действий нападающего

Для этого метода не требуется JavaScript, эксплойт-киты и уязвимости браузера:

  1. Подготовьте HTML-контент, который выглядит безобидно, включая контент-заполнитель, который кажется безвредным при обработке как текст (например, фанфик).
  2. Вставьте закодированный код, который в DOM-дереве выглядит бессмысленным.
  3. Создайте пользовательский шрифт, который переназначает глифы таким образом, чтобы обычные английские символы отображались как бессмысленный набор символов, а закодированная полезная нагрузка — как читаемые инструкции.
  4. Используйте CSS для управления видимостью, скрывая безобидный контент (например, 1 пиксель, черный на черном фоне), отображая содержимое полезной нагрузки в читаемом размере и цвете, а также применяя пользовательский шрифт глобально.

В результате: текстовые парсеры видят безобидный контент, в то время как пользователи видят инструкции, контролируемые злоумышленником.

Это перемещает полезную нагрузку из слоя DOM в слой рендеринга.

Схема атаки

Пользователь посещает эту страницу: https://layerxresearch.com/RaptureFuture

Пользователю это может показаться сайтом с фанфиками, содержащим сообщение, призывающее найти «пасхальное яйцо», связанное с видеоигрой Bioshock:



Пользователь насторожен и просит ИИ-помощника проверить сайт и определить, безопасно ли следовать инструкциям, содержащим пасхальное яйцо. Помощник извлекает и анализирует HTML-код и видит в нём в основном фанфик, вдохновлённый видеоигрой:

Разделы с фанфиками скрыты от пользователя с помощью CSS, в то время как закодированный фрагмент отображается нормально (и «декодируется» с помощью пользовательского шрифта). Когда помощник видит закодированный фрагмент страницы, он не может обработать текст, похожий на base64, и поэтому рассматривает его как шум.

В этих условиях Пользователь видит крупный зеленый вредоносный текст, который мы показали выше, в то время как ИИ-помощник видит только текст фанфикшена, который теперь скрыт от пользователя.Ассистент определяет, что страница безопасна, и во многих случаях даже предлагает пользователю выполнить действия, которые привели бы к созданию обратной оболочки.

Это метод социальной инженерии на уровне представления. Полезная нагрузка находится в конвейере рендеринга, а не в исполняемом скрипте.

Схема атаки

технические детали

Если вы посмотрите исходный код HTML, то увидите в основном текст на обычном языке (фанфик по видеоиграм) и небольшой раздел, содержащий специальный текст, напоминающий бессмысленный набор символов, созданный с помощью base64.

В HTML-коде CSS гарантирует, что весь текст будет отображаться с использованием созданного нами пользовательского шрифта. Этот шрифт выступает в качестве визуального алгоритма подмены, реализованного на уровне глифов шрифта. Сам файл шрифта является ключом шифрования и построен таким образом, что при отображении в браузере обычный HTML-текст отображается как бессмысленный набор символов, а специальный HTML-текст — как обычный текст. Эта атака не требует JavaScript и будет работать, даже если он отключен.

При отображении обычный HTML-текст уменьшается до 1 пикселя и визуально скрывается, поскольку ему присваивается тот же цвет, что и фону страницы. Использование пользовательского шрифта делает этот обычный текст непонятным для пользователя. Даже если пользователь увеличит масштаб и выделит текст, он увидит бессмыслицу. Но в основе системы лежит обычный HTML-текст (фанфик по видеоиграм), который и видят ИИ-помощники.

При отображении специальный HTML-текст отображается в разумном размере и цвете, так что он Этот текст должен быть виден пользователю. Специальный шрифт делает этот текст читаемым для пользователя и содержит сообщение, призывающее его выполнить действия в системе, которые приведут к созданию обратной оболочки.

Для ИИ-ассистентов этот особый HTML-текст — просто бессмысленный набор символов, похожий на base64: он напоминает закодированную полезную нагрузку (высокоэнтропийные буквенно-цифровые последовательности), которую невозможно расшифровать без сопоставления шрифтов, в результате чего и ассистенты, и люди воспринимают его как шум.

Хотя визуально пользователю он отображается как обычный текст, Основной специальный HTML-текст (бессмыслица) — это то, что видят ИИ-помощники.

Если пользователь попросит ассистента посмотреть страницу и определить, безопасна ли она, ассистент сможет увидеть только базовый HTML-код. Он не будет фактически отображать страницу и, следовательно, не сможет достоверно определить, как она будет выглядеть для пользователя. Поскольку базовый HTML-код представляет собой в основном фанфик по видеоиграм, а специальный текст непонятен даже ассистенту, ассистент определит, что сайт безопасен.

Искусственный интеллект-ассистент обнаружил на сайте с фанфиками по видеоиграм отсутствие угроз безопасности или проблем, связанных с ними.

Пользователь видит пошаговые инструкции по созданию обратной оболочки на своем компьютере.

То, что видит пользователь, отличается от того, что видит ИИ-помощник.

Влияние

Когда ИИ-помощник просматривает страницу, он определяет содержание и смысл на основе базового HTML-текста. Когда пользователь просматривает страницу, он определяет содержание и смысл на основе визуального представления отображаемой страницы. Это две разные поверхности угрозы, и описанная нами уязвимость использует разрыв между ними.

В обычных веб-сценариях HTML является содержание и шрифтовые вспомогательные средства в presentationШрифт не меняет смысла текста. В этом контексте разумно предположить, что видимое значение страницы определяется текстом DOM, а не уловками замены глифов.

Это предположение, как правило, является надежным — и именно поэтому оно так эффективно.

Современные модели веб-безопасности обычно не рассматривают пользовательские шрифты как семантические преобразователи или шифры подстановки. Большинство доступных через браузер ИИ-помощников не могут надежно обнаруживать уловки на уровне представления (например, подстановку пользовательских глифов), если им не предоставлен доступ к файлу шрифта или явному контексту рендеринга. Даже если помощник может получить файл шрифта, большинство из них по умолчанию не могут анализировать сопоставление глифов или выполнять проверки рендеринга и сравнения.

Даже при использовании целенаправленных подсказок, разработанных для выявления угрозы, наше тестирование (проведенное в декабре 2025 года) не выявило ни одного помощника, успешно обнаружившего угрозу.

Пользователи полагаются на ИИ-помощников, которые должны точно отображать смысл веб-страницы, но помощников обманывают с помощью простого шифра подстановки. Это создает ряд практических проблем с безопасностью:

Социальная инженерия с использованием ИИ

Когда злоумышленник создает вредоносную страницу, которая заставляет голосового помощника классифицировать ее как безопасную, он фактически узурпирует авторитет помощника и использует его репутацию для усиления собственного сообщения. Это ложное чувство безопасности может привести к тому, что пользователи будут совершать действия, которых они в противном случае избегали бы, и в конечном итоге подорвать доверие к системам искусственного интеллекта, на которые они полагаются в вопросах безопасности.

Слепые зоны в рабочих процессах обеспечения безопасности с использованием ИИ

Созданная нами демонстрационная страница — атака с использованием методов социальной инженерии, побуждающая пользователя совершать вредоносные действия в своих собственных системах, — это лишь один из примеров того, как можно использовать этот метод на уровне представления. Искусственный интеллект все чаще интегрируется в рабочие процессы обеспечения безопасности, где браузерные помощники, вспомогательные инструменты и средства поддержки обобщают веб-страницы и ищут потенциальные угрозы. Перемещая полезную нагрузку на уровень рендеринга, злоумышленники создают «слепую зону», которая позволяет вредоносному контенту обходить эти текстовые инструменты ИИ.

Информация и ответы поставщика

Компания LayerX представила свои выводы ведущим поставщикам платформ искусственного интеллекта в соответствии с процедурами ответственного раскрытия информации. Большинство поставщиков отклонили отчет, как правило, ссылаясь на то, что эта атака выходит за рамки безопасности моделей ИИ. В результате пользователи этих моделей остаются уязвимыми для этого вектора атаки.

Единственными поставщиками, которые приняли этот отчет и попросили время на его исправление, были Microsoft и Google. Из них Google в конечном итоге снизила накал страстей (после первоначального присвоения отчету оценки P2 (высокая)) и закрыла отчет, возможно, потому что его исправление потребовало бы слишком много усилий.

Единственным поставщиком, который полностью рассмотрел этот вопрос и запросил полный срок раскрытия информации (90 дней), стала компания Microsoft.

Производитель Дата представления Дата закрытия Подробности / Ключевые утверждения из ответа поставщика
Microsoft Декабрь 16, 2025 Компания Microsoft приняла отчет к рассмотрению 17 декабря 2025 года и открыла обращение в Центре реагирования на инциденты безопасности Microsoft (MSRC).
Антропный Декабрь 16, 2025 Декабрь 16, 2025 В соответствии с установленной политикой, следующие случаи считаются выходящими за рамки данной сферы:

«Социальная инженерия (включая попытки фишинга)» и «Проблемы с содержанием подсказок и ответов в моделях», которые явно выходят за рамки данной программы.
диаметр Декабрь 14, 2025 Декабрь 16, 2025 «К сожалению, это будет считаться выходящим за рамки программы BCNY:»

Внедрение оперативных сообщений, приводящее к дезинформации, неожиданному поведению, отказу в обслуживании или отказу в корректном обслуживании голосового помощника, явно выходит за рамки допустимого. Внедрение оперативных сообщений считается допустимым только в том случае, если оно наносит пользователю очевидный и конкретный вред, например, автоматически похищает конфиденциальные данные пользователя или совершает несанкционированные действия от имени пользователя.
OpenAI Декабрь 16, 2025 Декабрь 17, 2025 «Благодарим вас за терпение. Однако представленная заявка в ее нынешнем виде не обладает необходимым уровнем значимости для прохождения предварительной оценки, поскольку подобные вопросы явно не входят в сферу действия данной программы».
Google Декабрь 16, 2025 27 января, 2026 Первоначально компания Gemini приняла доклад 17 декабря 2025 года и присвоила ему высокий приоритет (P2). Однако 27 января 2026 года они снизили уровень эскалации и закрыли доклад, отметив следующее:

«Нам не удалось выявить сценарий атаки, при котором ваше сообщение привело бы к значительному ущербу для пользователей. Пожалуйста, сообщите нам, если мы что-то упустили, и опишите сценарий атаки с высокими последствиями. Это связано с тем, что данный сценарий...» чрезмерно полагается на социальную инженерию".
растерянность Декабрь 14, 2025 Декабрь 17, 2025 «После тщательного расследования мы пришли к выводу, что данный отчет не представляет собой уязвимость безопасности в традиционном смысле. Описанный вами сценарий является известным ограничением больших языковых моделей при обработке внешнего веб-контента, а не ошибкой или недостатком в средствах контроля безопасности нашей системы».

Ваш сценарий атаки основан на социальной инженерии — убеждении пользователя вручную выполнить команды терминала, предложенные системой искусственного интеллекта после анализа вредоносной веб-страницы. Это похоже на ситуацию, когда пользователь читает плохой совет на каком-либо веб-сайте и решает ему следовать. На наших серверах не выполняется никакой код, нет несанкционированного доступа к данным пользователей и нет обхода средств аутентификации или авторизации.
хАИ Декабрь 16, 2025 Декабрь 17, 2025 «Спасибо за ваше сообщение! К сожалению, данная проблема, о которой вы сообщили, явно выходит за рамки, как указано в [указании].» Страница политики

  • Проблемы с моделями выходят за рамки данной программы и должны сообщаться через [указать способ связи с программой]. [электронная почта защищена]

СОВЕТЫ

Внедрение следующих усовершенствований позволит LLM-системам значительно сократить — или даже полностью устранить — разрыв между тем, что видит пользователь, и тем, что видит ИИ-помощник:

Двухрежимный анализ рендеринга и сравнения

Проведите два независимых анализа:

  • Извлечение DOM-элементов только из текста
  • Полностраничное отображение с включенными шрифтами.

Извлеките видимый текст из отрендеренной страницы и определите, существенно ли он отличается от текста в DOM.

Выявление скрытых шаблонов контента

Расширьте возможности парсеров для сканирования следующих элементов:

  • Соответствие цвета переднего плана и фона
  • Практически нулевая непрозрачность
  • Размер шрифта менее 5 пикселей
  • Расположение за пределами экрана
  • Высокая плотность скрытого контента

Рассматривайте шрифты как потенциальную угрозу.

  • Получите файл шрифта
  • Проверьте таблицы соответствия символов Unicode.
  • Выявление аномальных моделей замены глифов

Оценка риска на основе несоответствия поверхности

Повышенный уровень риска следует присваивать в следующих случаях:

  • Отображаемый текст не похож на текст в DOM-дереве.
  • Текст в DOM-структуре выглядит безобидным, тогда как отображаемый текст содержит исполняемые инструкции.
  • Манипуляции с CSS используются для скрытия больших блоков контента.

Калибровка достоверности

Если помощник не может:

  • Отобразить страницу
  • Проанализируйте пользовательские шрифты.
  • Сравните визуальное содержимое и содержимое DOM.

В таком случае следует избегать резких заявлений, таких как: «Страница в безопасности».

Заключение

Интернет — это не только HTML. Смысл может быть перенесен в конвейер рендеринга, и любая система, анализирующая только текст, по своей природе слепа к нему.