Специалисты LayerX описали новый тип атаки на ИИ-ассистентов — в результате неё пользователь видит на странице вполне конкретную вредоносную команду, а бот при проверке ничего не замечает. Таким образом, риски выше для тех, кто привык доверять мнению машины.
Исследователи применили кастомные шрифты, подмену символов и CSS, чтобы скрыть в HTML один текст, а человеку показать в браузере совсем другой — ассистент смотрит на структуру страницы как на текст, а браузер превращает её в визуальную картинку, и если злоумышленник разведёт эти два слоя, пользователь и ИИ буквально увидят разные версии одной и той же страницы. То есть атака работает не за счёт взлома браузера или эксплуатации уязвимости в системе, а благодаря приёмам социнженерии.
По данным LayerX, ещё в декабре фиксировалось применение данной техники против ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity и ряда других сервисов, однако, только Microsoft посчитала угрозу серьёзной и полностью закрыла проблему на своей стороне.
%20(2).png)