資安公司LayerX近日揭露一種名為Poisoned Typeface的新型攻擊手法,指出攻擊者可透過自訂字型與CSS樣式,讓AI助理誤判網頁內容的安全性,進而誘導使用者執行惡意指令。
研究指出,Poisoned Typeface攻擊不需依賴瀏覽器漏洞,也不需要JavaScript或惡意程式碼,即可達成欺騙AI系統的效果,顯示AI在解析網頁內容時仍存在潛在風險。
AI判讀與實際畫面出現落差
LayerX指出,Poisoned Typeface攻擊的關鍵在於利用HTML原始內容與實際渲染畫面之間的差異。AI助理通常只分析DOM結構中的文字內容,卻無法完整掌握經過字型與CSS處理後呈現給使用者的最終畫面。
這使得攻擊者能夠讓AI看到的是無害文字,而使用者實際看到的卻是惡意指令。當AI回覆使用者該頁面安全時,可能進一步增加使用者的信任與誤判風險。
PoC顯示主流AI助理皆受影響
在概念驗證測試中,研究人員展示了一個看似普通的網頁內容,例如遊戲相關文本,但透過自訂字型映射後,實際呈現的畫面卻變成誘導使用者執行系統指令的內容。
測試結果顯示,包括ChatGPT、Claude與Gemini等主流AI助理,在面對Poisoned Typeface攻擊時,均無法正確辨識隱藏的惡意內容,甚至判定該頁面為安全。
產業對AI安全邊界認知仍有差異
LayerX指出,多數科技公司在接獲通報後,傾向將此問題歸類為社交工程攻擊,而非AI安全漏洞。僅有微軟針對Copilot進行修補,顯示不同廠商對AI安全風險的認知仍存在差異。
研究人員提醒,隨著AI逐漸成為使用者判斷資訊的重要工具,若系統無法正確理解最終呈現內容,將可能提供錯誤建議,甚至引發資安事件。Poisoned Typeface所揭示的問題,也凸顯未來AI系統在內容解析與安全判斷上的挑戰。
※ 圖片為示意畫面,僅用於新聞報導與合理使用
