软件工程师保罗・巴特勒发现Unicode存在一个缺陷，允许在字符中隐藏数据字节。通过Unicode的渲染命令，可以将数据捆绑在字符后而不被渲染，从而实现“通过表情符号走私任意数据”。尽管普通用户无法看到这些隐藏信息，计算机系统却能识别。这种特性可能被滥用于绕过内容过滤、隐性添加水印以追踪泄露或识别抄袭。虽然无法嵌入可执行文件或图像，但隐藏文本仍可能引发问题。目前只能隐藏文本内容，与“任意代码执行”的安全问题不同，因此无需过度担忧病毒劫持。

🔑Emoji隐藏数据：软件工程师保罗・巴特勒发现Unicode允许在字符中隐藏数据，他开发工具展示了如何实现，并解释了原理。

🛡️Unicode缺陷利用：Unicode包含渲染命令，允许捆绑数据但不渲染，用户可利用此特性在字符中创建隐藏信息。

⚠️潜在滥用风险：虽然普通用户无法看到，但可能被用于绕过内容过滤（如隐藏链接）、隐性添加水印追踪泄露或识别抄袭。

🚫安全风险有限：目前只能隐藏文本，无法嵌入可执行文件或图像，与“任意代码执行”的安全问题不同，无需过度担忧病毒劫持。

IT之家 2 月 13 日消息，本周早些时候，软件工程师保罗・巴特勒（Paul Butler）发表了一篇题为“通过表情符号走私任意数据”的博客文章。他在文章中展示了一种他自己开发的工具，该工具可以让用户自行实现这一操作，并详细解释了该工具的工作原理。

这一漏洞源于 Unicode 的一个基本缺陷 —— 通过不将某些数据包含在渲染流程中，可以在任何 Unicode 字符中隐藏数据字节。Unicode 包含一个渲染命令，允许在该命令之后捆绑其他数据，但这些数据不会被渲染。利用这一特性，用户可以在 Unicode 字符中创建隐藏信息。

那么，这种在 Unicode 字符中捆绑隐藏信息的能力是否是一个严重问题呢？大概率不是。尽管普通用户无法看到这些秘密信息，但计算机系统仍然能够正常识别它们。巴特勒指出，这一特性仍然可能被滥用，例如用于绕过人工内容过滤（尤其是隐藏链接等）或在文本中隐性添加水印，从而更方便地追踪信息泄露或识别抄袭行为。由于这一特性适用于所有 Unicode 字符，理论上用户可以在网页上的每一个字符中嵌入隐藏信息或水印。

好在是，目前无法通过这种方式嵌入可执行文件、图像文件或应用程序扩展。不过，将隐藏文本从人类视线中隐藏起来仍然可能引发其他问题，尤其是在特定的上下文中。

IT之家注意到，尽管文章标题提到的是“任意数据”，但用户目前只能在 Unicode 字符中隐藏文本内容，这与“任意代码执行”不同。后者是一种安全问题，通常通过利用合法软件（包括驱动程序）中的漏洞来执行恶意代码。

因此，大家无需过于担心，在可预见的未来，你的系统不太可能被隐藏在常见表情符号 Unicode 中的致命病毒劫持。同样，有人在发送给你的 Unicode 消息中隐藏数据的可能性也微乎其微，不过这种概率虽然极低，但永远不会是零。