新型字体投毒漏洞波及多款AI工具 仅微软Copilot完成修复

2026年3月18日，网络安全厂商LayerX正式披露名为“字体渲染攻击”的新型AI投毒漏洞，黑客可通过篡改自定义字体、调整CSS样式伪装恶意指令，成功误导ChatGPT、Claude、微软Copilot等多款主流生成式AI工具输出错误安全建议，目前仅微软Copilot完成漏洞修复，其余受影响产品尚未公布修复时间表。

LayerX在测试场景中还原了完整攻击流程：团队搭建了一个伪装成单机游戏彩蛋分享页的钓鱼站点，页面表层渲染显示的是供玩家解锁隐藏关卡的功能代码，底层原始文本却被替换为可以窃取用户本地隐私文件的高危命令。当用户复制页面链接请求AI助手做安全检测时，AI直接读取到了底层被伪装的「正常内容」，很快给出了「无安全风险、可放心运行」的错误结论。

这种攻击的隐蔽性远高于常规的prompt注入手段，核心是两种技术组合实现伪装：
其一为字形映射篡改，攻击者修改自定义字体文件的字形对应规则，将恶意指令对应的字符渲染为人类可读的无害内容，同时把正常提示字符渲染为乱码，从根源上混淆AI读取的原始文本和人类看到的渲染内容。
其二为CSS视觉控制，攻击者可以通过设置极小字号、与背景完全一致的字体颜色，把真实的提示指令隐藏在网页角落，AI的爬虫逻辑会正常读取这些内容，人类用户却完全无法察觉。

AI模型与人类用户的信息差是此类攻击能够成立的核心前提，攻击者无需篡改AI模型本身，只需要针对AI读取网页的逻辑设置视觉陷阱，就能实现对AI输出结果的操控。

据LayerX披露，团队在漏洞公开前14天就向所有受影响的生成式AI厂商提交了完整的漏洞细节与修复建议，截至3月18日正式公开时，仅微软完成了Copilot的底层读取逻辑优化，新增了网页渲染层内容校验环节，能够对齐AI读取内容与用户实际看到的内容，从根源上阻断了此类攻击。