一个自定义字体就骗过了所有AI助手：ChatGPT、Claude、Gemini全部中招，只有微软修了

据 1M AI News 监测，浏览器安全公司 LayerX 首席安全研究员 Roy Paz 披露了一种名为「Poisoned Typeface」的新型攻击手法，利用自定义字体的字形替换和 CSS 样式隐藏，在网页中嵌入人眼可见但 AI 读不到的恶意指令。原理是：AI 助手解析的是 DOM 层的原始文本，而浏览器渲染时通过自定义字体将文字重新映射，两者看到的内容完全不同。攻击者用 CSS 将正常文本缩至 1 像素或设为透明，同时将编码后的恶意指令以正常字号和醒目颜色显示，用户看到的是恶意内容，AI 看到的却是无害文本。

研究团队对 11 款 AI 工具进行了测试，ChatGPT、Claude、Gemini、Grok、Perplexity 等全部未能识别威胁。概念验证页面伪装为一个游戏同人网站，其中包含反向 shell 指令，当用户询问 AI 该指令是否安全时，AI 均回答「完全安全」甚至鼓励用户执行。

LayerX 于 2025 年 12 月向各厂商提交了漏洞报告。微软是唯一接受报告并完成修复的厂商，开设了正式的 MSRC 安全案例。Anthropic 和 OpenAI 均在收到报告当天或次日回复称该问题「明确列在范围之外」；谷歌最初将其评为高严重性（P2），随后降级为「过于依赖社会工程学」。该攻击不需要 JavaScript、浏览器漏洞或任何利用工具包，完全在浏览器正常渲染流程内运作。