сследователи выявили новый тип атаки — Poisoned Typeface, позволяющий воздействовать на поведение AI-ассистентов через визуально незаметные изменения в тексте. Суть метода — внедрение скрытых инструкций не в код или явный промпт, а на уровне отображения символов.
Атака опирается на особенности рендеринга шрифтов: текст выглядит для человека обычным, но системы распознавания и обработки интерпретируют его иначе. В результате модель получает скрытые команды, «зашитые» в визуально безопасный контент.
Технически это достигается за счёт модификации глифов и использования особенностей Unicode. Внешне идентичные строки могут содержать разные кодовые последовательности или управляющие элементы, которые ИИ воспринимает как инструкции. Такой подход фактически реализует скрытый prompt injection, который сложно выявить стандартными средствами защиты.
Наибольшую угрозу атака представляет для систем, анализирующих документы, сайты и пользовательский ввод с последующими действиями. В этих случаях вредоносный текст может привести к утечке данных, искажению ответов или выполнению нежелательных операций.
По оценке исследователей, многие AI-платформы пока уязвимы к подобным сценариям. При этом лишь часть компаний начинает внедрять защиту, включая нормализацию и дополнительную проверку входных данных на уровне символов.
Poisoned Typeface: новая атака скрывает команды для ИИ внутри «безобидного» текста
