Компанія LayerX продемонструвала нетривіальний спосіб обходу захисту ІІ-асистентів, інтегрованих з браузером. Суть атаки в тому, що шкідливу команду ховають у веб-сторінці так, щоб її чітко бачив користувач, але не помічала модель штучного інтелекту, яка аналізує HTML. Ключова слабкість полягає в розриві між тим, що зафіксовано в DOM-структурі, і тим, як фактично рендериться сторінка у браузері.
Як працює атака через кастомні шрифти та CSS
Основний механізм ґрунтується на використанні кастомних шрифтів і підміні гліфів (glyph substitution). В HTML розміщують рядок символів, який для ІІ-асистента виглядає як випадковий «сміттєвий» текст. Водночас підключений шрифт змінює відповідність «код символу → відображуваний знак», тож для користувача в браузері цей же набір перетворюється на осмислену команду.
Паралельно на сторінку додають «безпечну» версію тієї ж команди — нейтральний текст без шкідливої логіки. За допомогою CSS-властивостей її роблять невидимою або майже невидимою для людини: мінімальний розмір шрифту, однаковий колір тексту і фону, майже нульова прозорість тощо. Для моделі, яка читає DOM, саме цей текст залишається доступним, а реальна шкідлива команда маскується кастомним шрифтом.
Чому ІІ бачить одне, а користувач — інше
Більшість сучасних AI-асистентів для вебу працюють не з фінальним зображенням сторінки, а з її структурованим поданням: HTML-кодом, DOM-деревом і частково CSS. Модель читає текст до стадії візуального рендерингу, тому ефекти кастомних шрифтів і складних стилів не потрапляють у зону аналізу.
У результаті виникає розсинхронізація сприйняття: ІІ «бачить» безпечний опис, а користувач – справжню шкідливу команду. Якщо людина питає асистента, чи безпечно виконати команду з певної сторінки, система оцінює лише невинну версію тексту з DOM і впевнено повідомляє, що ризиків немає.
Приклад експлуатації: пасхалка Bioshock і reverse shell
Як proof-of-concept LayerX створила сторінку, яка обіцяє «пасхалку» до відеогри Bioshock. Користувачеві пропонують запустити нібито нешкідливу консольну команду для відкриття секретного контенту. Насправді ж команда ініціює reverse shell — з’єднання, яке надає зловмиснику віддалений доступ до комп’ютера жертви.
За даними дослідників, якщо користувач звертається до популярних ІІ-асистентів поради, чи безпечна ця команда, моделі аналізують лише «безпечний» текст у DOM і підтверджують її безпечність. Станом на грудень 2025 року атака спрацьовувала проти більшості поширених рішень: ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity та інших комерційних асистентів.
Реакція вендорів ІІ та дискусія про межі відповідальності
LayerX повідомила розробників основних ІІ-платформ про проблему 16 грудня 2025 року. Значна частина команд класифікувала звіт як out of scope, аргументуючи, що сценарій включає елементи соціальної інженерії: користувача все одно потрібно переконати вручну запустити команду.
Згідно з LayerX, повноцінно опрацювала кейс лише команда Microsoft: проблему взяли в роботу через MSRC, після чого відповідний вектор атаки було закрито. У Google спочатку надали інциденту високий пріоритет, однак пізніше знизили його і закрили розгляд, вважаючи, що практичний вплив на користувачів обмежений.
Ризики для екосистеми ІІ та рекомендації із захисту
Представлена техніка розширює вже відомий клас загроз prompt injection та атак на ланцюг постачання даних для ІІ. Вона показує, що аналіз лише DOM-структури є недостатнім: кастомні шрифти, CSS і проміжні шари відображення фактично стають додатковою поверхнею атаки для будь-яких «розумних» інструментів, які автоматично читають вміст сторінок.
LayerX рекомендує вендорам інтегрувати перевірку узгодженості між DOM і відрендереною версією сторінки. Це може означати використання браузероподібного рушія рендерингу, порівняння тексту до і після застосування шрифтів, а також виявлення підозрілих CSS-властивостей: однакових кольорів тексту й фону, аномально малого розміру шрифту, майже нульової прозорості, агресивного застосування нестандартних шрифтів.
Організаціям варто доповнювати технічні заходи політиками та навчанням користувачів. Зокрема, забороняти запуск команд із неперевірених джерел, навіть якщо AI-асистент запевняє в їхній безпечності. Галузеві звіти, такі як Verizon DBIR, а також рекомендації NIST щодо безпечного використання ІІ-рішень, послідовно підкреслюють, що людський фактор і надмірна довіра до автоматизованих порад залишаються ключовими причинами інцидентів кібербезпеки.
Поява атак через кастомні шрифти демонструє: безпеку ІІ-асистентів слід розглядати так само серйозно, як захист браузерів і поштових клієнтів. Розробникам варто вже зараз переглянути архітектуру інтеграцій з веб-сторінками, впровадити аналіз фактичного рендерингу й розглядати шрифти та CSS як повноцінні вектори атаки. Чим швидше ці підходи стануть стандартом, тим меншим буде ризик, що чергова «пасхалка» у браузері обернеться непомітним для ІІ, але небезпечним reverse shell для користувача.
