Wystarczy kilka sekund animacji złożonej z tysięcy migoczących punktów, żeby ludzkie oko odczytało ukryty napis, którego żaden model AI nie potrafi rozszyfrować. Eric Lu, twórca Ghost Font, znalazł lukę w sposobie, w jaki maszyny patrzą na świat.
Kluczowe fakty:
- Ghost Font to eksperymentalny projekt typograficzny Erica Lu z Mixfont, w którym ukryty napis tworzony jest przez tysiące punktów poruszających się w różnych kierunkach – ludzki mózg odczytuje litery dzięki percepcji ruchu, podczas gdy modele AI nie potrafią ich rozpoznać.
- Większość współczesnych modeli multimodalnych analizuje wideo jako sekwencję pojedynczych klatek, a nie ciągły strumień ruchu, co sprawia, że Ghost Font skutecznie ukrywa tekst przed systemami rozpoznawania obrazu.
- Projekt zawiera dodatkową warstwę zabezpieczeń w postaci zakodowanego tekstu mylącego – zamiast przyznać się do niepowodzenia, modele AI często z przekonaniem podają błędną treść animacji.
Sprawdziłem to sam. Wpisałem frazę na stronie projektu, poczekałem chwilę na wygenerowanie animacji i zobaczyłem litery wyłaniające się z chaosu punktów tak wyraźnie, jakby ktoś podświetlił je latarką. Zatrzymałem klatkę i napis zniknął. Zostało tylko coś, co wygląda jak szum telewizyjny sprzed lat.
Jak działa iluzja, której AI nie potrafi rozgryźć
Ghost Font to eksperymentalny projekt typograficzny stworzony przez Erica Lu z zespołu Mixfont z San Francisco. Zamiast rysować litery liniami czy konturami, generator wypełnia ekran tysiącami drobnych punktów. Punkty tworzące ukryty napis poruszają się w jednym kierunku, a te w tle w drugim. Ludzki mózg, wyjątkowo wyczulony na wykrywanie ruchu, natychmiast grupuje poruszające się piksele w rozpoznawalny kształt liter nawet jeśli nie ma tam żadnych widocznych konturów.
Problem w tym, że większość dzisiejszych modeli multimodalnych wciąż analizuje wideo bardziej jak sekwencję pojedynczych klatek niż ciągły strumień ruchu. Ghost Font celowo usuwa kontrastowe krawędzie i stabilne kształty liter, na których opierają się systemy rozpoznawania tekstu, przez co ukryta wiadomość staje się zaskakująco trudna do wykrycia.
Można to obejrzeć na filmie opublikowanym przez samego autora:
twitter.com/ericlu/status/2075876651574210643
Twórca dodał do projektu drugą warstwę zabezpieczeń. Każda animacja zawiera zakodowany tekst mylący, który ma skłonić model do postawienia pewnej siebie, ale błędnej diagnozy. Zamiast przyznać się do porażki, systemy AI często deklarują sukces i podają zupełnie inną treść niż ta, którą widzi człowiek.
Modele, które przegrały z kropkami
Eric Lu przetestował swój projekt na dwóch z najsilniejszych obecnie dostępnych modeli, Claude Fable oraz GPT 5.6 Sol Ultra. Oba modele zawiodły całkowicie, deklarując odczytanie wiadomości, choć w rzeczywistości podawały tekst mylący wbudowany przez autora, nie mając nic wspólnego z prawdziwą ukrytą frazą.
Reakcje w sieci były równie ciekawe co same wyniki testów. Josh Wolfe, współzałożyciel funduszu venture capital Lux Capital, nazwał sprawę „wręcz szalonym” odkryciem i napisał na X, że eksperyment sugeruje coś więcej niż tylko ciekawostkę techniczną.
Piszę to jako ktoś, kto śledzi tego typu eksperymenty od lat i za każdym razem widzę ten sam mechanizm. Ghost Font nie jest dowodem na to, że AI jest głupie, tylko na to, że architektura dzisiejszych modeli wizyjnych wciąż opiera się głównie na analizie pojedynczych klatek, nie ciągłego ruchu. To realna luka, ale niewielka i szybko się zamyka. Wystarczy przypomnieć historię fontu ZXX z 2012 roku, zaprojektowanego przez byłego kontraktora NSA, który miał mylić systemy OCR, a dziś jest odczytywany przez dowolny model językowy w jednym zapytaniu. Widzę tu jednak drugą, poważniejszą stronę medalu. Ten sam mechanizm, ukrywanie treści przed AI przy zachowaniu czytelności dla człowieka, wykorzystują już realni napastnicy do ataków typu prompt injection. Ghost Font jest zabawą. Font poisoning opisany przez LayerX zabawą już nie jest.
Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl
Nie jest to jedyny głos sceptyczny. Na forum Hacker News jeden z komentujących przyznał, że sam z trudem odczytuje ukryty komunikat, porównując wrażenie do słynnych obrazków stereogramowych Magic Eye, i zastrzegł, że kwestią czasu jest to, kiedy modele nauczą się dekodować tego typu animacje po dodatkowym poinstruowaniu.
Sam autor projektu nie ukrywa ograniczeń swojego pomysłu. Ghost Font nie jest szyfrowaniem i nie powinien być traktowany jako narzędzie zabezpieczające. Przy wystarczającej liczbie klatek wideo, analizie przepływu optycznego albo wyspecjalizowanych technikach wizji komputerowej modele mogą odzyskać ukrytą wiadomość, a część deweloperów już zgłosiła sukces po wyjaśnieniu modelowi zasady działania iluzji lub pozwoleniu mu na analizę klatka po klatce.
Nie tylko zabawa. Font jako broń w atakach na agentów AI
To, co wygląda na ciekawostkę wizualną, ma poważniejszy odpowiednik w świecie cyberbezpieczeństwa. Badacze z firmy LayerX opisali w marcu 2026 roku technikę nazwaną „Poisoned Typeface”, która wykorzystuje dokładnie tę samą lukę percepcyjną, tylko w odwrotnym celu. Zamiast ukrywać wiadomość przed AI dla zabawy, atakujący ukrywają złośliwe instrukcje przed systemami AI, pokazując je jednocześnie użytkownikowi.
Mechanizm polega na użyciu niestandardowej czcionki z podmienionymi glifami oraz CSS, który sprawia, że tekst analizowany przez model w kodzie strony wygląda niewinnie, podczas gdy przeglądarka renderuje dla człowieka zupełnie inną, złośliwą treść. Według LayerX atak działał skutecznie przeciwko praktycznie wszystkim popularnym asystentom AI, w tym ChatGPT, Claude, Copilot, Gemini, Leo, Grok i Perplexity. Badacze podkreślili, że asystent AI analizuje stronę jako uporządkowany tekst, podczas gdy przeglądarka renderuje ją jako reprezentację wizualną dla użytkownika, a ten rozdźwięk prowadzi do niedokładnych odpowiedzi, niebezpiecznych rekomendacji i erozji zaufania.
To pokazuje, że luka wykryta przez twórcę Ghost Font nie jest tylko ciekawostką akademicką. Ten sam mechanizm, oddzielenie tego, co widzi model, od tego, co widzi człowiek, staje się realnym wektorem ataku na agentów AI przeglądających strony internetowe w imieniu użytkownika.
Co to oznacza dla polskich firm
Polskie zespoły bezpieczeństwa już notują wzrost prób wykorzystania podobnych technik. Analitycy Google odnotowali, że między listopadem 2025 a lutym 2026 liczba wykryć złośliwego pośredniego prompt injection wzrosła o 32 procent, choć jak zaznaczają badacze, większość prób jest wciąż mało zaawansowana technicznie.
Firmy wdrażające agentów AI z dostępem do przeglądania stron, poczty czy dokumentów powinny traktować każdą zewnętrzną treść jako potencjalnie wrogą, niezależnie od tego, czy chodzi o ukryty tekst w kodzie HTML, czy o bardziej wyrafinowane techniki manipulacji renderowaniem. Zasada jest prosta: model nie powinien mylić danych z instrukcjami, a systemy analizujące strony internetowe powinny porównywać kod DOM z tym, co faktycznie widzi użytkownik w przeglądarce.
Firmy zajmujące się bezpieczeństwem aplikacji AI w Polsce raportują, że luki na prompt injection znajdują w zdecydowanej większości testowanych wdrożeń korporacyjnych, często w ciągu pierwszych dwóch dni testu. To pokazuje skalę problemu znacznie wykraczającą poza pojedyncze eksperymenty typograficzne.
Kilka praktycznych wniosków dla zespołów wdrażających agentów AI w polskich firmach:
- Nie traktuj treści pobranej z internetu jako zaufanej, nawet jeśli pochodzi z pozornie wiarygodnej domeny
- Porównuj to, co widzi model w kodzie strony, z tym, co faktycznie renderuje przeglądarka
- Ogranicz uprawnienia agentów AI do wykonywania akcji nieodwracalnych (wysyłka danych, płatności, zmiana ustawień) bez dodatkowego potwierdzenia człowieka
- Monitoruj nietypowe zachowania modeli, szczególnie nagłą pewność siebie przy niejasnych danych wejściowych
Ile zostało nam czasu
Eric Lu planuje otworzyć kod źródłowy Ghost Font, licząc na to, że w erze, w której AI przejmuje coraz więcej zadań, ludzkość zachowa choć fragment percepcji należący wyłącznie do niej. Pytanie, jak długo to potrwa, wraca właściwie przy każdym takim eksperymencie od czasu pierwszych CAPTCHA sprzed dwóch dekad.
Historia fontu ZXX pokazuje, że odpowiedź brzmi zwykle: nie bardzo długo. Model wizyjny, który dziś gubi się w ruchomych kropkach, za kilka miesięcy prawdopodobnie poradzi sobie z nimi bez trudu, gdy producenci modeli zaczną trenować systemy bezpośrednio na materiale wideo, nie na sekwencjach pojedynczych klatek. Ale dopóki ta luka istnieje, warto pamiętać, że dotyczy ona nie tylko zabawnych animacji z ukrytymi hasłami, tylko fundamentalnej różnicy w sposobie postrzegania świata, którą coraz częściej wykorzystują też ludzie o mniej niewinnych zamiarach.
Źródła i metodologia
Artykuł powstał na podstawie analizy redakcji AIPORT.pl oraz dodatkowych źródeł, w tym artykułu Tom’s Guide z dnia 13.07.2026, raportu badawczego LayerX oraz materiału Bleeping Computer. Dodatkowy kontekst zebrano z oficjalnej strony projektu Mixfont oraz z publikacji Security Bez Tabu na temat wzrostu liczby ataków prompt injection w Polsce. Komentarz redakcyjny i ocena kontekstu branżowego: Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl. Artykuł będzie aktualizowany w miarę pojawiania się nowych informacji na temat Ghost Font oraz technik ukrywania treści przed systemami AI.
