伪装字体技术可欺骗AI视觉识别
速览
Decoy Font通过精心设计的字形结构,让AI视觉系统(如OCR、图像分类器)产生误判,而人类肉眼仍可正常阅读。该技术可用于对抗性攻击测试、隐私保护,或为AI安全研究提供新思路。
AI 深度解读
背景
随着 AI 系统(尤其是大型语言模型)对屏幕截图和图像中文字的识别能力越来越强,如何保护个人或商业信息不被 AI 抓取和滥用成为一个新兴问题。传统的验证码(CAPTCHA)已逐渐被突破,而针对 AI 阅读行为的对抗性字体应运而生。Decoy Font 正是 Mixfont 团队在该领域的一项实验性成果,旨在利用视觉错觉原理让 AI 难以正确读取用户输入的文字,同时人眼仍可辨认真实信息。
核心内容
Decoy Font 是一种基于 TrueType 格式(.ttf)的可安装字体。它的工作原理是:在每个字符的同一空间内,利用不同的空间频率(spatial frequencies)同时编码两个不同字母。前景使用细轮廓线,而背景则是一个低频的模糊团块。当两者叠加时,人眼观察方式不同会看到不同的内容:凑近看时,前景的细线条更清晰,人眼会看到“诱饵”字母;稍微拉远距离或眯眼,背景的低频模糊块融合成实际隐藏的字母。
这种设计专门针对 AI 系统的阅读方式:大多数 AI 模型(如 ChatGPT、GPT-4o、Gemini 2.5 等)会近距离逐像素分析图像,因此它们会更关注轮廓清晰的“诱饵”字母,而忽略模糊的背景。但当人类从稍远距离观察时,却能清晰读出隐藏的真实信息。该字体基于早已被研究的“混合图像”(hybrid image)技术——最著名的例子是将阿尔伯特·爱因斯坦和玛丽莲·梦露的脸融合到同一张图像中。Decoy Font 将这一技术应用到字体排印领域,以此保护用户输入的文本不被 AI 或 OCR 技术读取。
该项目还提供了在线展示和下载功能。用户可以直接安装 TTF 字体文件,在本地记事本或设计软件中输入文字,真实信息会自动隐藏在诱饵字母之下。作者甚至提供了一个有趣的演示:将一段用 Decoy Font 书写的文本截图发送给 ChatGPT,即使人眼看起来十分清晰,AI 仍然无法正确读取。
此外,Mixfont 团队此前还探索了另一款对抗 AI 的字体 Ghost Font,它利用动画来隐藏信息;而 Decoy Font 则不需要动画,直接以静态 TTF 字体形式工作,适用范围更广。作者指出,这种技术并不能保证绝对安全——具备强大代理能力和代码能力的模型可能通过某些手段(例如提示工程)绕过初步混淆;但对于一般的抓取和随意观察,Decoy Font 仍能起到有效的干扰作用。
关键要点
- 核心原理:利用混合图像中的空间频率差异——前景高频细线(诱饵字母)+ 背景低频模糊块(真实字母)。人眼根据观察距离呈现不同解读,AI 则默认聚焦高频细节而错过背景信息。
- 实现形式:提供标准的 TTF 字体文件,可下载安装,像普通字体一样在系统中使用,直接输入文字即可自动生成带诱饵的字符。
- 对抗对象:主要针对基于图像像素分析的 AI 模型(如 ChatGPT、GPT-4o、Gemini 2.5 等)以及 OCR 技术,使它们难以从截图或图像中读取真实文本。
- 局限性:不是万无一失的。具备强大推理和代码能力的模型,在适当提示下可能发现隐藏字母;但作为初始混淆层仍很有效。
- 与 Ghost Font 的对比:Ghost Font 依赖动画隐藏信息,而 Decoy Font 是静态字体,更易部署和使用。
- 潜在应用:可用于 CAPTCHA(验证码)增强、朋友间发送隐私消息、作为 LLM 文本识别能力的基准测试等。
- 跨语言扩展:作者特别提到,表意文字(如中文)可能因字符大小和形状近似而更容易应用此技术,值得进一步开发。
意义与影响
Decoy Font 的发布标志着对抗性字体从学术概念走向公众可用工具。随着 AI 抓取成本的下降和恶意爬虫的增多,个人和企业在发布包含敏感文字的图像(如截图、PDF、设计稿)时面临更大的信息泄露风险。Decoy Font 提供了一种低成本、易操作的防御手段,让普通人也能通过简单的字体安装来混淆 AI 的识别。
同时,该字体也为 AI 安全研究提供了一个新的测试场景。开发者可以将其作为 LLM 视觉理解能力的基准,观察模型是否能透过视觉错觉读取隐藏信息,进而改进模型的细粒度像素分析能力。长远来看,这种“猫鼠游戏”将推动对抗性样本生成与防御技术的共同进步。
此外,Decoy Font 的开源和免费性质降低了使用门槛,促进了社区参与和二次开发。例如,它可能启发更多语言(尤其是中文)的对抗性字体设计,以及结合 CAPTCHA 等实际场景的落地。然而,作者也坦诚其局限性,提醒用户它应作为多层防护中的一层,而非完全可靠的解决方案。
