一個自訂字型就騙過了所有AI助手：ChatGPT、Claude、Gemini全部中招，只有微軟修了

据 1M AI News 监测，浏览器安全公司 LayerX 首席安全研究员 Roy Paz 披露了一种名为「Poisoned Typeface」的新型攻击手法，利用自定义字体的字形替换和 CSS 样式隐藏，在网页中嵌入人眼可见但 AI 读不到的恶意指令。原理是：AI 助手解析的是 DOM 层的原始文本，而浏览器渲染时通过自定义字体将文字重新映射，两者看到的内容完全不同。攻击者用 CSS 将正常文本缩至 1 像素或设为透明，同时将编码后的恶意指令以正常字号和醒目颜色显示，用户看到的是恶意内容，AI 看到的却是無害文本。

研究团队对 11 款 AI 工具进行了测试，ChatGPT、Claude、Gemini、Grok、Perplexity 等全部未能识别威脅。概念验证页面偽裝為一個遊戲同人網站，其中包含反向 shell 指令，當用戶詢問 AI 該指令是否安全時，AI 均回答「完全安全」甚至鼓勵用戶執行。

LayerX 於 2025 年 12 月向各廠商提交了漏洞報告。微軟是唯一接受報告並完成修復的廠商，開設了正式的 MSRC 安全案例。Anthropic 和 OpenAI 均在收到報告當天或次日回复稱該問題「明確列在範圍之外」；谷歌最初將其評為高嚴重性（P2），隨後降級為「過於依賴社會工程學」。該攻擊不需要 JavaScript、瀏覽器漏洞或任何利用工具包，完全在瀏覽器正常渲染流程內運作。