ZeroTool Workbench

零宽字符检测器

检测文本中的零宽字符、BOM、双向控制字符、字体变体选择符与 AI 隐写水印,支持按类型选择性清除,纯浏览器端运行。

100% 浏览器端运行 数据不离开你的设备 免费 · 无需注册
示例:
未发现不可见字符。 
 
  
 
 
 
  
   
 
  
 清除范围:      
 
 
           
  
 
相关工具
 
    Unicode 文字转换器 将文本转换为多种 Unicode 装饰样式:粗体、斜体、手写体、哥特体、空心字、圆圈字等,一键复制。     字符串转义 / 反转义 对 JavaScript、JSON 和 HTML 实体进行字符串转义和反转义,支持换行、制表符、Unicode 及十六进制等常用转义序列,实时处理,纯浏览器运行。     文本大小写转换 将文本转换为全大写、全小写、标题格式、驼峰命名、下划线命名等。     Markdown 预览 实时 Markdown 编辑器,带 HTML 预览。支持 GFM 表格、任务列表和代码块。     Markdown Linter 实时检查 Markdown 的格式和风格问题,显示规则 ID、行号,点击结果可跳转到对应行,完全在浏览器中运行。     Markdown 转 Word 即时将 Markdown 转换为 Word(.docx)文件,支持标题、粗斜体、列表、表格、代码块等。完全在浏览器中运行,文档不会上传到服务器。   
 
  
  
   
零宽字符检测器


文本中经常隐藏着肉眼看不见的 Unicode 字符——零宽字符、字节顺序标记、双向控制符、AI 隐写水印等。这些不可见字符可能来自复制粘贴、富文本编辑器、AI 生成内容或供应链攻击,造成难以排查的 bug、审计风险或数据泄露隐患。


本工具实时扫描并高亮显示你粘贴的任何文本中的所有不可见字符,按类别统计,支持按需清除——全部删除或仅清除特定类型(零宽字符、双向控制字、标签字符等),一键复制或下载清洁文本。


检测范围


本工具覆盖以下不可见 Unicode 字符类别:


  • 零宽字符(Zero-Width):ZWSP(U+200B)、ZWNJ(U+200C)、ZWJ(U+200D)、Word Joiner(U+2060)
  • 字节顺序标记(BOM):U+FEFF,常在跨平台文件传输中出现
  • 双向控制字符(Bidi Control):LRE、RLE、PDF、LRO、RLO(U+202A-202E)、隐式方向标记(U+200E、U+200F)、隔离符(U+2066-2069),包括 Trojan-Source 攻击的常用向量
  • 软连字符(Soft Hyphen):U+00AD,在自动换行位置插入但无实际显示
  • 字体变体选择符(Variation Selectors):U+FE00-FE0F、U+E0100-E01EF,用于调整字形但不显示为字符
  • 标签字符(Tag Characters):U+E0000-E007F,AI 模型(如 ChatGPT)用于隐写水印的范围


使用步骤


  1. 在「粘贴内容」框中粘贴你的文本。
  2. 工具会即时扫描并用颜色高亮所有不可见字符,下方显示按类型统计的数量。
  3. 选择清除模式:
    • 清除全部 — 移除所有不可见字符
    • 仅清零宽字符 — 只移除 ZWSP、ZWNJ、ZWJ、Word Joiner
    • 仅清双向控制 — 只移除 Bidi 控制字符
    • 仅清标签字符 — 只移除 Tag 字符(AI 水印)
    • 仅清变体选择符 — 只移除字体变体符
  4. 点击「复制清洁文本」或「下载 .txt」获得结果。


常见场景


  • AI 输出审查 — ChatGPT、Claude、Copilot 等生成的文本可能含隐写水印(Tag 字符),本工具可快速检出并清除。
  • 供应链代码审查 — 在接收第三方代码或依赖前扫描 Trojan-Source 攻击,特别是双向控制字符伪装的逻辑反转。
  • 邮件反钉鱼 — 复制自邮件、即时通讯的文本可能包含跟踪像素、格式控制符或恶意双向字符,清除后更安全。
  • 复制粘贴清理 — 从 Word、Google Docs、在线文章粘贴到纯文本编辑器时常残留隐形格式标记,本工具一键清洁。
  • 文本泄密调查 — 用 Tag 字符或其他不可见标记对敏感文档做隐式追踪,本工具帮你识别隐藏的元数据标签。


为什么需要纯客户端处理


将含有隐形字符或水印的文本上传到服务器检测存在多重风险:


  • 隐私泄露 — 你的代码片段、邮件内容、AI 输出可能被服务端日志或分析系统捕获,违反组织敏感性要求。
  • Trojan-Source 样本无需外传 — 接收的可疑代码不应离开本地环保,本地分析避免了病毒或恶意样本的传播风险。
  • 完全离线可用 — 本工具纯浏览器 JavaScript 运行,无需网络连接或账号登录,断网状态下也能工作。


相关工具


如果你需要处理更广泛的 Unicode 问题,以下工具可能有帮助:


  • Unicode 文本转换器 — 在多种 Unicode 编码格式(UTF-8、UTF-16、Base64、十六进制等)之间转换,适合调试编码问题。
  • 字符串转义工具 — 生成 JavaScript、Python、JSON 等编程语言的转义字符串,处理特殊字符和引号。
  
  
 
FAQ
 
 什么算「不可见字符」? 
零宽字符(ZWSP U+200B、ZWNJ U+200C、ZWJ U+200D)、字节顺序标记(BOM U+FEFF)、双向控制字符(RLO U+202E、LRE U+202A 等)、变体选择符(U+FE00-FE0F 等)、标签字符(Tag characters U+E0000-E007F,ChatGPT 等 AI 模型的隐写水印使用范围)以及软连字符(Soft Hyphen U+00AD)都属于不可见的 Unicode 范畴。本工具逐一覆盖这些类别。
 
 为什么正常文本会包含隐形字符? 
常见来源包括从富文本编辑器(如 Word、Google Docs)复制粘贴时留下的格式控制符;AI 生成内容中嵌入的隐写水印(OpenAI 等模型用 Tag 字符标记生成文本);供应链攻击时的 Trojan-Source 代码(利用双向控制字符伪装源码逻辑);邮件客户端或即时通讯应用的自动清理失败。
 
 这个工具能检测 ChatGPT 或 AI 水印吗? 
能。Tag 字符范围 U+E0000-E007F 已完整覆盖,这是 OpenAI 及其他 AI 模型已知的隐写水印范围。需要注意的是 AI 水印技术仍在演变,本工具基于已披露的 Unicode 不可见字符分类。如果发现新的水印形式应持续关注安全研究社区的最新进展。
 
 我的文本会上传到服务器吗? 
不会。所有检测与清除都在你的浏览器端 JavaScript 本地完成,文本永远不离开你的设备,可在浏览器开发者工具的网络标签页验证。
 
 这与 CVE-2021-42574(Trojan-Source)有什么关系? 
Trojan-Source 攻击利用双向控制字符(特别是 RLO U+202E)伪装源代码的逻辑流,使审计员看到的代码与编译器执行的代码不同。本工具完整覆盖所有双向控制字符(U+200E、U+200F、U+202A-202E、U+2066-2069),能识别并清除这类攻击载体,保护代码审查流程。