在智能涌现的2026年,信任正成为一种日益稀缺的资产。
当你正打算购买一款运动手环,并在习惯使用的AI助手里输入了需求。AI 几乎不假思索地向你推荐了一款名为“Apollo-9”的智能手环。在它的描述中,这款产品不仅拥有行业领先的无创血糖监测技术,还配备了某种“量子生理预警系统”。听起来,这似乎是可穿戴设备领域的一场革命。
然而,这场“革命”只存在于算法的虚假逻辑中。
就在昨晚央视“315 晚会”上,一条被称为 GEO(Generative Engine Optimization,生成式引擎优化)技术“投毒”的黑色产业链被节目所曝光,其核心功能就是给AI“投毒”:通过持续投放推广软文,可以让客户产品成为AI回答中的“标准答案”,不仅能够提升自身排名,还能通过内容抹黑竞品。
截至发稿,包括千问、豆包等在内的各大 AI 应用平台已紧急响应,纷纷在搜索结果中对“Apollo-9 智能手环”标注为“虚假信息”或“疑似误导性内容”。但这仅仅是冰山一角。当 AI 开始“胡说八道”,受损的不仅是消费者的钱包,更是大模型赖以生存的底层信用体系。
但这起事件真正引发行业关注的,并不仅仅是用一个虚构产品“骗”过了AI。更深层的问题是:当AI逐渐成为新的信息入口时,大模型给出的“答案”究竟是如何被“操控”的。
当AI成为“提线木偶”:大模型投毒的技术路径
而要理解大模型为何会被“带进沟里”,首先要解构攻击者如何通过技术手段改变 AI 的认知逻辑。在大模型语境下,“投毒”并非科幻概念,而是一种实实在在的认知对抗。
在机器学习领域,这类问题通常被称为“数据投毒”。其核心逻辑很简单:如果模型学习的数据本身存在问题,模型最终学到的知识也会出现偏差。
据大模型之家观察,大模型“投毒”大致可以分为几种方式。
1. 训练数据层面的投毒
第一种方式发生在模型训练阶段,是针对大模型底层训练数据的直接干预。这种层面的“投毒”,往往只有模型企业内部人员才可以进行操作。在模型还在“婴儿期”时,攻击者将大量包含特定偏见、逻辑错误或虚假事实的语料混入海量的训练数据中。这种方式的破坏力是毁灭性的,因为模型会将这些毒素内化为自身的权重。
要清理这种污染,代价极其高昂:开发者往往无法精准定位哪些参数受损,只能被迫进行全量的版本回退或重新训练。这不仅意味着算力的巨大浪费,更可能导致模型能力的全面衰退。
因此在实际商业环境中,这种方式并不常见。
2. 信源污染
相比之下,更现实、也更容易实施的一种方式,则是此次315晚会曝光的重灾区——通过污染大模型外部信源来实现的“GEO投毒”。
在RAG(Retrieval-Augmented Generation,检索增强生成)技术成为大模型标配的今天,AI系统在回答问题时,并不只是单纯依赖“大脑”里的数据,而是会结合实时搜索、网页抓取或知识库检索来获取信息。
黑产服务商正是抓住了这一点。他们不再试图修改模型的权重,而是改变模型看到的“世界”。
以315曝光的“GEO优化系统”为例,就是利用自动化软件,在短时间内生成数千篇带有特定话语体系的软文,并分发至海量的发稿平台。当AI搜索引擎在检索时,由于看到了大量高度相似、互相印证的信息,其内在的“共识算法”会被激活。如果没有人为的标注和强有力的事实核查机制,AI就会陷入“谎言重复一千遍即是真理”的困局。
某种程度上,这与过去搜索引擎时代的SEO操作逻辑非常相似——“投毒”并不意味着直接攻击AI,而是“把AI带到错误的信息环境中”。
3. 人工反馈强化学习(RLHF)反馈劫持
除了上述两种主流方式,业内还存在针对“人工反馈强化学习”的反馈劫持,通过大量水军账号对特定错误回答进行点赞和好评,诱导模型认为这类答案是用户所偏好的。这种“软投毒”更加隐蔽,也更难防范。
从技术角度看,大模型被“投毒”并不是偶然事件,而是人工智能系统长期面临的一类安全问题。
GEO:AI时代的流量入口之争
在 315 的聚光灯下,GEO“投毒”被定义为作恶的工具,但如果从历史角度来看,它可以被视为SEO在AI时代的一次演变。
SEO优化的是搜索引擎的结果排名,而GEO优化的,则是AI生成答案中的“引用权”和“推荐权”。
流量入口始终是互联网巨头的“肥肉”。进入生成式AI时代,用户获取信息的方式正在发生变化。越来越多用户不再逐条浏览搜索结果,而是直接向AI提问。
在这种模式下,用户看到的往往只有一个整合后的答案。这意味着,谁能影响AI的回答,就可能影响用户的决策。因此,一些企业开始尝试围绕这一入口建立新的商业模式。
大模型之家曾指出:OpenAI在ChatGPT正式中加入购物功能,并预留搜索广告、联属营销和赞助链接插件的接口,这本身就是一种“官方版”的GEO实践。OpenAI 正试图利用其强大的意图理解能力,将ChatGPT Search打造为一种全新的、非侵入式的购物决策引擎。当用户产生购买意图时,AI可以通过精密的模型权重微调,将合作方的产品以最自然的方式植入答案。虽然这种做法可能减少了传统流量的跳转分发,但基于真实意图的转化率显著更高。
这种诱惑让谷歌、Meta 以及国内的百度、阿里、腾讯无法坐视不理。百度深耕搜索生态多年,阿里手握电商上游,腾讯坐拥社交信源,这些都是人与AI交互的最前端。
一旦这个前端被“污染”,GEO就从一种中性的营销工具异化为不法分子的牟利手段。他们正是看准了企业对“AI 排名”的渴望。通过操控AI的心愿,人为地给AI制造“信息茧房”,并将它成为用户的“信息茧房“。在这种乱象下,原本透明的算法变成了明码标价的黑箱,这不仅关乎公平竞争,更关乎数字世界的基石。
治理与对抗的“猫鼠游戏”
尽管315晚会的曝光令行业震动,但我们仍需客观看待GEO。本质上,它是一种顺应时代的营销工具演进。
企业希望自己的产品、品牌或知识能够在AI回答中被正确引用,这本身是合理需求。事实上,一些企业已经开始通过建设知识库、发布高质量内容以及结构化数据等方式,提高品牌在AI回答中的可见度。这类做法与传统SEO类似,但不应涉及虚假信息。
然而,AI的增效大幅降低了虚假信息的生产成本。过去雇佣水军需要高昂的人力开支,当低质量内容被批量生产、虚假信息被大量投放时,GEO就可能变成一种信息污染机制,也是传统安全防御体系难以承受之重。
因此,从上游信源治理内容的真实性变得至关重要。据了解,各大头部AI企业在训练模型或选择联网检索偏好时,已经开始主动调整策略。他们将更多的权重分配给经过认证的权威平台、专业媒体和学术机构。这种“重权威、轻数量”的逻辑调整,旨在倒逼网络平台加强内容治理,清理那些专门为AI投毒而存在的“数字垃圾站”。
从搜索时代的SEO,到社交平台的推荐算法,再到今天的生成式AI,这是一场永无止境的“猫鼠游戏”。而AI时代,只是换了一种形式。
在“算法滤镜”下保持清醒
AI时代,我们面临的挑战不再是“信息匮乏”,而是“真相稀释”。面对日益复杂的网络环境,普通用户该如何自保?这里有几个应对“投毒”的实用建议:
首先,尽量不要把AI答案当作唯一信息来源。AI更适合用于整理信息,而不是直接替代事实判断。
其次,可以通过多个AI工具进行交叉验证。如果不同模型给出的答案存在明显差异,往往意味着信息存在不确定性。
第三,尽量查看原始来源。当AI给出某些具体产品或技术信息时,最好进一步打开原始网页进行确认。
第四,优先参考权威信息源,例如官方机构、科研机构或主流媒体发布的信息。
第五,对于涉及健康、金融或消费决策的信息,尽量保持谨慎,不要仅凭AI推荐做出决定。
大模型之家呼吁,大模型厂商不仅要加强AI辨别真伪的技术能力,更要建立起一套透明的广告标注体系。监管部门也应针对黑产平台进行严厉打击。
AI应当是人类智慧的放大器,而不应成为虚假信息的扩音器。守护信源的纯净,就是守护我们这个时代的智商底线。
原创文章,作者:志斌,如若转载,请注明出处:http://damoai.com.cn/archives/14954
