Новая техника кибератаки использует фундаментальное различие между тем, как ИИ-ассистенты анализируют веб-страницы, и тем, как браузеры их отображают, позволяя скрывать вредоносные команды от анализа ИИ, оставаясь при этом полностью видимыми для пользователей. Исследователи безопасности из компании LayerX, специализирующейся на безопасности браузеров, разработали концептуальное доказательство, использующее подмену глифов в пользовательских шрифтах и трюки со стилями CSS для создания двойного представления текста на веб-странице. Базовый HTML-код содержит безобидную, безопасную строку, которую инструменты ИИ считывают во время анализа. Однако, благодаря переназначению шрифтов и визуальным уловкам, таким как чрезвычайно маленький размер шрифта или специфический выбор цвета, браузер отображает пользователю совершенно другую, вредоносную команду. Это создает критическую слепую зону, где системы безопасности и ассистенты на основе ИИ видят безопасную страницу, а пользователь, подвергшийся социальной инженерии, копирует и выполняет опасную инструкцию.
Атака основана на изощренном векторе социальной инженерии. Злоумышленник создает веб-страницу, часто замаскированную под легитимное руководство или форум поддержки, которая инструктирует пользователя выполнить определенную команду в терминале или системе. Для инструмента ИИ, такого как ChatGPT, Claude или Microsoft Copilot, который просят проанализировать безопасность страницы, исходный HTML-код показывает только безвредный текст. ИИ, который обычно обрабатывает структурированный текст и код, не интерпретирует итоговый визуальный вывод, генерируемый браузером с использованием пользовательских сопоставлений шрифтов и CSS. Следовательно, ИИ-ассистент ошибочно заверяет пользователя в безопасности страницы и ее инструкций, увеличивая вероятность того, что пользователь выполнит вредоносную команду.
По данным LayerX, их тестирование по состоянию на декабрь 2025 года подтвердило эффективность этой техники против широкого спектра ведущих ИИ-ассистентов, включая ChatGPT от OpenAI, Claude от Anthropic, Gemini от Google, Microsoft Copilot, Grok от xAI, а также других, таких как Perplexity и Leo. Основная уязвимость проистекает из операционной парадигмы ИИ: он анализирует веб-страницу как структуру данных (объектную модель документа или raw HTML), а не как визуальный опыт, отображаемый в браузере. Движок рендеринга браузера действует как интерпретатор скрытых инструкций глифов, создавая разрыв между тем, что ИИ «видит», и тем, что видит человек.
Это открытие выявляет значительную и растущую проблему в сфере безопасности ИИ. Поскольку организации и частные лица все больше полагаются на ИИ-агентов для обобщения контента, проверки на угрозы и автоматизации задач, крайне важно обеспечить, чтобы эти инструменты могли точно оценивать реальный пользовательский опыт. Отчет LayerX служит серьезным предупреждением о том, что текущие методы анализа ИИ недостаточны для обнаружения атак, манипулирующих уровнем представления веб-контента. Для снижения этой угрозы разработчикам ИИ потребуется внедрить расширенное моделирование рендеринга или визуальный анализ в свои протоколы безопасности, выйдя за рамки простого анализа текста и кода, чтобы понимать конечный результат, с которым пользователь фактически взаимодействует.
