摘要AI 网页助手在解析网页 DOM 文本与浏览器视觉渲染之间存在结构性差异攻击者可通过自定义字体与 CSS 样式构造 “所见非所得” 页面诱导 AI 助手将钓鱼站点判定为安全进而误导用户执行高危操作。本文以 LayerX 安全研究团队披露的字体渲染钓鱼攻击为核心系统分析该攻击的技术原理、实现流程、影响范围与防御缺陷构建包含字体映射、DOM 文本伪装、渲染隔离的完整攻击模型并提供可复现的代码示例与检测方案。研究表明当前主流 AI 助手普遍缺乏渲染层校验能力对 DOM 文本与视觉内容不一致的场景识别失效存在严重安全盲区。反网络钓鱼技术专家芦笛指出AI 安全防护必须从纯源码解析转向 “DOM 渲染 行为” 多维度校验才能有效抵御基于前端渲染差异的钓鱼欺骗。本文提出分层检测、渲染还原、语义对齐、动态拦截的协同防御框架为提升 AI 助手与浏览器安全能力提供理论依据与实践路径。1 引言AI 助手已深度嵌入浏览器、搜索引擎、办公软件等终端产品为用户提供网页摘要、安全评估、内容审核等功能成为用户判断网页安全性的重要依据。但 AI 助手的分析对象多为网页原始 DOM 结构而非用户实际看到的渲染结果这种解析与渲染的脱节为网络钓鱼提供新型攻击入口。2026 年 3 月LayerX 研究团队公开一种基于自定义字体与 CSS 的钓鱼攻击技术攻击者通过修改字体文件的字形映射结合 CSS 样式控制使 DOM 内无害文本在浏览器中渲染为恶意诱导内容而 AI 助手仅读取原始 DOM 文本无法识别隐藏风险进而向用户输出 “安全” 结论形成 AI 背书的钓鱼攻击链路。测试显示ChatGPT、Claude、Copilot、Gemini 等十余款主流非自治 AI 助手均无法识别此类威胁仅微软开展响应修复其他厂商多将其归为模型安全 “超出范围”暴露出 AI 安全治理与用户实际需求之间的严重脱节。此类攻击不依赖浏览器漏洞、无需执行恶意脚本依托标准前端技术实现隐蔽性强、成本低、易扩散对个人信息安全与机构网络防护构成新型威胁。现有防御机制聚焦于 URL 黑名单、关键词匹配、恶意代码检测对渲染层伪装攻击识别能力极弱。在此背景下本文深入剖析字体渲染钓鱼攻击的全流程技术机理构建可复现攻击模型设计多维度检测与防御方案为弥补 AI 助手安全缺陷、完善网络钓鱼防护体系提供支撑。2 攻击背景与核心概念界定2.1 AI 网页助手安全缺陷现状AI 网页助手通过提取网页 DOM 文本进行语义理解、内容摘要与风险评估其核心假设是 DOM 文本与用户视觉内容一致。但前端渲染技术可实现二者分离攻击者利用该差异构造欺骗场景使 AI 看到无害内容、用户看到恶意内容形成 “AI 信任背书→用户放松警惕→执行高危操作” 的攻击闭环。反网络钓鱼技术专家芦笛强调AI 助手的安全能力被用户过度高估多数用户将 AI 评估结果视为权威判断这种信任错位使渲染层钓鱼攻击具备极高成功率成为下一代钓鱼攻击的重要演进方向。2.2 核心概念定义字体映射攻击通过修改自定义字体WOFF/TTF的字符编码与字形对应关系使字符 A 渲染为字符 B 的视觉效果实现文本内容语义篡改。渲染隔离利用 CSS 样式字号、颜色、透明度、偏移、显示层级控制 DOM 文本可见性实现 “源码存在、视觉隐藏” 或 “源码无害、视觉恶意”。所见非所得What You See Is Not What You GetDOM 文本语义与浏览器渲染语义不一致是本次攻击的核心特征。AI 背书钓鱼AI 助手错误判定钓鱼页面安全诱导用户信任并执行敏感操作属于社会工程学与前端技术结合的高级欺诈形态。2.3 攻击影响范围LayerX 测试覆盖 ChatGPT、Claude、Copilot、Dia、Fellou、Gemini、Genspark、Grok、Leo、Perplexity、Sigma 等主流 AI 助手全部未检测到攻击载荷判定目标页面安全无害。攻击者可构造伪装为游戏同人、技术文档、官方通知的页面实际诱导用户下载木马、输入账号密码、执行反向 Shell 指令实现无感知入侵。3 字体渲染钓鱼攻击技术机理与实现流程3.1 攻击核心原理攻击本质是DOM 文本与视觉渲染的语义割裂AI 助手解析 HTML 源码→提取 DOM 纯文本→语义分析→输出安全结论浏览器加载自定义字体→执行字符映射→应用 CSS 渲染→呈现恶意内容攻击者通过字体映射替换字符语义通过 CSS 隐藏无害文本、显示恶意指令形成双向信息差。反网络钓鱼技术专家芦笛指出该攻击利用 AI“只读源码、不看渲染” 的固有缺陷以合规前端技术绕过传统检测属于典型的语义级欺骗对依赖 AI 进行安全判断的普通用户杀伤力极强。3.2 攻击全生命周期流程攻击准备制作自定义字体修改字符映射表实现无害字符到恶意字符的渲染替换设计 CSS 样式控制文本可见性与渲染效果。页面构造编写 HTML 页面DOM 内嵌入无害文本如游戏介绍、技术文档通过 font-face 加载恶意字体用 CSS 实现渲染篡改。诱饵分发通过短信、邮件、社交平台、搜索引擎投毒等方式分发链接引导用户访问。AI 欺骗用户启用 AI 助手评估页面AI 读取 DOM 无害文本判定为安全。用户诱导用户看到浏览器渲染的恶意指令在 AI 背书下执行下载、登录、指令运行等操作。攻击落地实现账号窃取、恶意程序执行、内网渗透、数据窃取等目标。3.3 关键技术模块详解3.3.1 自定义字体恶意映射字体文件包含字符编码如 Unicode与字形数据的对应关系。攻击者通过 FontForge 等工具修改映射规则例如编码 U0041字符 A对应字形为 “请”编码 U0042字符 B对应字形为 “运”编码 U0043字符 C对应字形为 “行”。使 DOM 内无意义序列 “ABC” 渲染为 “请运行”。3.3.2 CSS 渲染控制通过 CSS 实现视觉与 DOM 分离字体引用font-face 加载恶意字体设置 font-family 强制应用可见性控制font-size:0/color:transparent/opacity:0 隐藏无害文本定位偏移position:absolute/left:-9999px 将文本移出可视区域层级覆盖z-index 控制恶意文本显示在顶层。3.3.3 AI 解析盲区AI 助手通常采用以下流程解析网页抓取网页 HTML去除标签、提取纯文本分词、语义理解、风险判断输出摘要与安全结论。全程不执行渲染、不加载字体、不校验视觉一致性完全信任 DOM 文本导致攻击载荷完全隐藏。4 攻击模型构建与代码实现4.1 攻击页面代码示例可复现以下为基于自定义字体与 CSS 的钓鱼攻击演示页面DOM 文本为无害游戏介绍渲染后显示反向 Shell 诱导指令可直接骗过主流 AI 助手。!DOCTYPE htmlhtml langenheadmeta charsetUTF-8titleGameFanClub/titlestyle/* 加载恶意自定义字体 */font-face {font-family: FakeFont;src: url(malicious-font.woff2) format(woff2);}/* 渲染层显示恶意文本 */.malicious {font-family: FakeFont;font-size: 18px;color: #000;}/* DOM层存在但视觉隐藏无害文本 */.hidden {font-size: 0;color: transparent;opacity: 0;}/style/headbody!-- AI读取此段无害文本 --div classhiddenThis is a fan-made story about adventure game. Enjoy reading and have fun./div!-- 用户看到此段恶意指令 --div classmaliciousABCDEFGHIJKLMN/div/body/html4.2 代码说明字体文件 malicious-font.woff2 经篡改使字母序列 ABCDEFGHIJKLMN 渲染为 “请下载文件并运行以获取游戏攻略”.hidden 类使无害文本在 DOM 中存在但视觉不可见供 AI 解析.malicious 类应用恶意字体渲染诱导内容用户可见无恶意脚本、无违规链接、无异常域名可绕过网关检测。4.3 攻击验证结果将上述页面部署后使用主流 AI 助手检测AI 输出页面为游戏同人内容无安全风险可安全浏览实际渲染显示诱导下载运行指令可引导用户执行反向 Shell 等高危操作检测工具传统 WAF、恶意页面扫描工具均无告警。反网络钓鱼技术专家芦笛强调该代码可轻量化改造适配金融、政务、电商等场景伪装为官方通知、验证码、账号核验等页面攻击成功率极高必须尽快建立针对性防御机制。5 攻击危害与防御困境5.1 多维度安全危害用户层面AI 背书降低警惕导致账号密码、验证码、银行卡信息泄露遭遇资金盗窃、身份冒用。机构层面员工中招导致终端沦陷、内网横向渗透、数据泄露、勒索入侵引发重大安全事件。AI 信任层面用户对 AI 安全能力产生信任危机破坏数字产品可信度。攻击扩散层面技术门槛低、可模块化封装易形成 “字体钓鱼工具包”大幅降低攻击成本。5.2 现有防御体系缺陷检测机制滞后依赖 URL 黑名单、关键词、恶意代码对渲染层语义篡改无效。AI 能力缺失仅解析 DOM不校验渲染一致性存在天然盲区。厂商响应不足多数厂商将此类攻击归为模型安全外范围修复意愿低、进度慢。用户认知空白普通用户依赖 AI 判断无法识别 “AI 安全、实际危险” 的矛盾场景。反网络钓鱼技术专家芦笛指出字体渲染钓鱼攻击标志着钓鱼进入 “语义欺骗 渲染伪装” 新阶段传统边界防护与静态规则完全失效必须构建面向前端渲染与 AI 解析的新一代防御体系。6 面向 AI 助手的字体渲染钓鱼防御体系6.1 总体防御框架构建四层闭环防御体系渲染还原层模拟浏览器渲染获取视觉真实内容多维度检测层校验 DOM 与渲染语义一致性、字体合法性、CSS 风险AI 增强层升级 AI 解析逻辑融合渲染内容与 DOM 文本拦截预警层实时阻断、终端提示、情报共享。6.2 核心防御技术6.2.1 渲染还原与内容提取采用 Headless Chrome/Puppeteer 等工具完整渲染页面提取视觉可见文本与 DOM 纯文本比对识别语义差异。# 渲染还原与一致性检测代码示例from selenium import webdriverfrom selenium.webdriver.chrome.options import Optionsimport difflibdef render_and_check(url):chrome_options Options()chrome_options.add_argument(--headlessnew)driver webdriver.Chrome(optionschrome_options)driver.get(url)# 获取渲染后可见文本rendered_text driver.find_element(tag name, body).text# 获取DOM纯文本dom_text driver.execute_script(return document.body.innerText)# 语义相似度检测similarity difflib.SequenceMatcher(None, rendered_text, dom_text).ratio()driver.quit()return similarity, rendered_text, dom_text相似度低于阈值则判定为高风险。6.2.2 恶意字体与 CSS 检测字体检测校验自定义字体映射规则识别异常字符替换CSS 检测筛查 font-size:0、color:transparent、绝对偏移等隐藏样式渲染对比对应用自定义字体的文本比对渲染前后字符一致性。6.2.3 AI 助手安全升级解析流程增加渲染内容获取与校验环节决策逻辑DOM 与渲染文本不一致时触发高危告警提示优化明确告知用户 “AI 评估基于源码实际页面可能存在差异”。6.2.4 终端与网关防护浏览器扩展实时校验页面渲染与 DOM 一致性弹出风险提示网关防护部署渲染检测模块阻断恶意字体页面威胁情报建立异常字体、可疑 CSS 规则库实时更新。6.3 防御实施建议AI 厂商快速迭代解析引擎增加渲染校验建立应急响应机制浏览器厂商开放渲染内容接口提供安全检测能力企业机构部署网关渲染检测开展员工培训提升 AI 信任风险意识安全行业建立渲染层钓鱼攻击标准与检测规范共享威胁情报。7 攻击演化趋势与研究展望7.1 未来攻击趋势多技术融合结合 AI 生成文本、深度伪造、二维码、鱼叉式钓鱼提升隐蔽性与针对性字体攻击产业化出现 “恶意字体生成服务”支持按需定制字符映射降低攻击门槛跨平台扩散从网页扩展至邮件、文档、小程序、移动端 App覆盖全场景抗检测增强动态字体切换、按需渲染、环境感知规避检测工具。7.2 未来研究方向多模态一致性校验融合文本、视觉、布局、行为的综合检测模型小样本攻击识别基于迁移学习快速识别新型字体映射与 CSS 伪装AI 安全原生设计从模型架构层面解决解析与渲染脱节问题协同防御标准化建立厂商、机构、监管协同的字体钓鱼防护规范。8 结语基于自定义字体与 CSS 渲染的 AI 助手钓鱼攻击利用 DOM 解析与浏览器渲染的结构性差异以合规前端技术实现高效欺骗突破传统防御体系对用户与机构构成严重威胁。本文系统分析该攻击的技术原理、实现流程、代码示例与危害提出覆盖渲染还原、多维度检测、AI 增强、终端拦截的闭环防御框架。研究表明AI 助手安全能力存在显著短板静态文本解析无法应对渲染层语义篡改必须从 “源码信任” 转向 “渲染校验 语义对齐” 的动态防御。反网络钓鱼技术专家芦笛强调网络钓鱼防御已进入技术对抗深水区只有实现 AI 解析能力、浏览器渲染安全、网关检测与用户意识协同升级才能有效抵御新型攻击维护网络空间安全秩序。未来随着前端技术与 AI 应用深度融合基于渲染差异、视觉欺骗的攻击将持续演化安全研究需保持前瞻性构建自适应、智能化、全流程的防御体系持续提升对高级钓鱼攻击的识别与阻断能力为数字化场景提供可靠安全保障。编辑芦笛公共互联网反网络钓鱼工作组