Hotdry.

Article

CI流水线中的字体度量攻击静态检测:构建时拦截恶意字形

在CI/CD流水线中集成TrueType字体静态检测规则,通过cmap分析与PUA码点检测,在构建阶段阻断Noroboto类字体混淆攻击。

2026-05-25security

攻击背景:当字体开始 "撒谎"

2025 年 LegalQuants 团队披露的 Noroboto 攻击揭示了文档供应链中一个长期被忽视的攻击面:TrueType 字体中的 cmap(字符映射表)可被恶意篡改,使得视觉呈现与底层 Unicode 编码产生系统性偏离。攻击者通过将标准字符映射到 Unicode 私有使用区(PUA)码点,或直接将 "M" 的字形绑定到 "D" 的码点,实现 "所见非所得" 的语义欺骗。

这种攻击在合同审查、法律文档处理场景中尤为危险 —— 人工审阅者看到 "适用马里兰州法律",而自动化系统提取的文本却是 "适用特拉华州法律"。更隐蔽的部分混淆变体仅针对关键条款(如 "successors and assigns")进行字符替换,大幅降低了被检测的概率。

静态检测的技术切入点

与运行时 OCR 验证不同,静态检测在构建阶段分析字体文件本身,无需渲染即可识别可疑特征。核心检测维度包括:

1. PUA 码点占比异常

Unicode 标准在 U+E000-U+F8FF、U+F0000-U+FFFFD、U+100000-U+10FFFD 三个区段保留了私有使用区。合法字体极少在这些区段定义大量字形,而 Noroboto 的完全混淆变体将标准字符批量映射至 PUA。

检测规则可计算:

PUA_ratio = PUA_codepoints / total_cmap_entries

当 PUA_ratio 超过阈值(如 0.3)时触发告警。对于混合攻击(部分混淆 + 部分正常),需结合字符分布熵值分析 —— 攻击字体往往在 PUA 区段呈现异常集中的分布模式。

2. 字形名称与 cmap 映射一致性校验

TrueType 字体在name表中存储字形的人类可读标识(如 "M"、"D")。Noroboto 的早期实现曾保留原始字形名称,导致 "名为 M 的字形实际映射到 D 的码点" 这一明显矛盾。静态检测应交叉比对:

  • post表中的字形名称
  • cmap表中的码点映射
  • CFF表中的字符名称(如存在)

当名称首字符与映射码点对应的 ASCII 字符不一致时,标记为可疑。

3. 字体度量兼容性异常

Noroboto 攻击要求恶意字体与原字体保持度量兼容(metric-compatible),以确保文档布局不被破坏。这一约束反而成为检测特征 —— 攻击字体往往呈现 "过度相似" 的度量矩阵。通过计算字形边界框(bounding box)的统计特征,可识别出与原字体高度一致但 cmap 异常的可疑文件。

CI 流水线集成方案

将静态检测嵌入 CI/CD 流程,可在文档进入生产环境前完成拦截。推荐的分阶段检测策略:

阶段一:提交时预检(Pre-commit)

在 Git 钩子或 IDE 插件中实施轻量级检测:

  • 文件类型过滤:仅扫描.ttf.otf、嵌入字节的.docx/.pdf
  • 快速指纹比对:与已知恶意字体哈希库比对
  • 元数据校验:检查字体创建工具、时间戳异常

阶段二:构建时深度扫描

在 CI 流水线中调用专用检测工具(建议基于ttf-parserfonttools):

# GitHub Actions示例
- name: Font Security Scan
  run: |
    font-guard scan \
      --pua-threshold 0.3 \
      --entropy-threshold 2.5 \
      --check-name-consistency \
      --fail-on-high-risk \
      ./assets/fonts/

关键参数说明:

参数 推荐值 说明
--pua-threshold 0.3 PUA 码点占比超过 30% 触发阻断
--entropy-threshold 2.5 字符分布熵低于此值视为异常集中
--check-name-consistency true 启用字形名称与映射一致性校验
--fail-on-high-risk true 高风险发现时终止构建

阶段三:制品签名验证

对于通过静态检测的字体,在打包阶段附加签名:

font-sign --key $SIGNING_KEY --output manifest.json ./verified-fonts/

运行时仅加载签名验证通过的字体,形成 "静态检测 + 运行时白名单" 的双重防御。

误报控制与例外管理

静态检测面临的主要挑战是合法 PUA 使用场景(如企业私有图标字体、历史文档兼容性字体)。建议采用分层策略:

  1. 允许列表:维护经审核的 PUA 使用清单,包含字体哈希与合法用途说明
  2. 上下文感知:对于已知安全的字体家族(如 Google Noto),降低检测敏感度
  3. 人工审核队列:中风险发现进入人工审核,不直接阻断构建
  4. 渐进式部署:初期仅开启告警模式,收集基线数据后切换为阻断模式

与运行时缓解的协同

静态检测与 Tritium 提出的运行时 OCR 验证形成互补:

  • 静态检测在构建阶段拦截已知攻击模式,零运行时开销
  • 运行时验证捕获绕过静态规则的变种攻击,作为最后防线
  • 反馈闭环:运行时发现的漏报样本回流至静态规则库,持续优化检测逻辑

对于高安全要求的场景(如法律 Tech、金融文档处理),建议同时部署两种机制:CI 流水线中的静态检测阻断批量投放的恶意字体,运行时 OCR 验证防范针对性绕过尝试。

实施 checklist

在现有 CI/CD 流水线中集成字体静态检测,可按以下步骤推进:

  1. 资产清点:枚举代码库中所有字体文件,分类为系统字体、第三方字体、自定义字体
  2. 基线建立:对现有字体运行检测工具,记录 PUA 占比、熵值等基线指标
  3. 规则调优:根据基线数据调整阈值,确保误报率低于 5%
  4. 集成部署:在 PR 检查阶段嵌入检测步骤,高风险阻断、中风险告警
  5. 监控运营:建立字体安全事件响应流程,定期更新恶意字体指纹库

字体度量攻击的防御不应仅依赖终端用户的警觉。通过在 CI/CD 流水线中嵌入静态检测规则,安全团队可将防护边界前移至构建阶段,在恶意字形触及生产环境前完成拦截。

参考来源

  • Tritium Legal: "Noroboto: Lying Fonts and Mitigation in Rust" — 攻击原理与运行时缓解方案
  • BamSoftware: "Fingerprinting web users through font metrics" — 字体度量分析技术基础

security

内容声明:本文无广告投放、无付费植入。

如有事实性问题,欢迎发送勘误至 i@hotdrydog.com