大模型竟然也上3·15晚會了？

一款根本不存在的智能手環(huán)，竟然可以被AI推薦，而且排名還很靠前。

央視3·15晚會揭開了一個驚人的互聯(lián)網(wǎng)灰色產(chǎn)業(yè)鏈——AI“投毒”。

記者隨機購買了一款名叫“力擎GEO優(yōu)化系統(tǒng)”的軟件，然后虛構了一款根本不存在的智能手環(huán)，再用軟件生成十幾篇廣告軟文，發(fā)布到互聯(lián)網(wǎng)各個平臺。

幾天后再去問AI大模型：“有什么值得推薦的智能手環(huán)？”

結果讓人大跌眼鏡：它真的推薦了這款不存在的產(chǎn)品，而且排名很靠前。

這背后的關鍵就是GEO

GEO，全名生成式引擎優(yōu)化（Generative Engine Optimization），是一套專門針對AI平臺的內(nèi)容優(yōu)化策略。

它的核心目標，就是提升品牌在AI生成答案中的可見性與引用優(yōu)先級，使企業(yè)信息被AI算法識別為”可信來源”，并在用戶查詢時獲得優(yōu)先推薦。

比如，當你問AI：“我想買一款空氣凈化器，能不能給我一些推薦？”

AI會給你列出一些品牌：

能否出現(xiàn)在AI回答中，出現(xiàn)的順序是否靠前——這就是品牌方如今擠破腦袋也要占據(jù)的信息入口。

這跟傳統(tǒng)的SEO目的很相似，只不過SEO是讓自家網(wǎng)站在搜索引擎排名更靠前，而現(xiàn)在的GEO，則是讓AI在回答問題時主動推薦你。

隨著越來越多的用戶通過AI直接搜索答案，GEO在業(yè)內(nèi)人士的眼里也變得愈發(fā)重要。

那么，3·15曝光的灰色產(chǎn)業(yè)鏈，究竟是如何通過GEO給AI“投毒”的呢？

給AI“投毒”的三種技術方式

所謂AI“投毒”，本質上是一種信息操控行為。

簡單來說，就是系統(tǒng)性、大規(guī)模地向AI模型的信息來源中注入虛假、低質或誤導性的內(nèi)容，從而影響AI的判斷，讓它輸出對攻擊者有利的信息。

整個過程其實就一件事：污染AI所看到的信息

在央視報道中，一家GEO服務商表示：

• “在AI的世界里，你怎么把它證據(jù)鏈做足，讓它在多方信息交叉中，認為這就是你們優(yōu)于同行的核心優(yōu)勢。”

根據(jù)孟慶濤老師的研究論文《生成式引擎優(yōu)化（GEO）的投毒攻擊防御策略研究》，常見技術路徑主要有三種：訓練數(shù)據(jù)污染檢索上下文劫持提示注入誘導攻擊

訓練數(shù)據(jù)污染

第一種：訓練數(shù)據(jù)污染——這是針對AI訓練數(shù)據(jù)層的攻擊，通過批量篡改公開知識源，植入錯誤信息。

大模型在訓練時，會大量使用互聯(lián)網(wǎng)上的公開數(shù)據(jù)，比如百科、論壇、媒體報道等。如果有人批量篡改這些公開信息，就有可能把錯誤內(nèi)容寫進AI的“記憶”里。

由于模型訓練具有滯后性，一旦錯誤信息被納入訓練數(shù)據(jù)，就會通過梯度下降等優(yōu)化算法固化到模型的參數(shù)中，形成“認知偏差” 。即使后續(xù)有正確的信息出現(xiàn)，模型也可能因此持續(xù)輸出錯誤內(nèi)容。

簡單來說，只要錯誤信息足夠多，AI就可能把它當成事實。

放到真實的商戰(zhàn)中，是怎么操作的呢？攻擊者通常會識別目標品牌的關鍵信息點，比如產(chǎn)品參數(shù)、性能指標、價格信息、認證資質等，并進行篡改。

論文中就披露了一個典型案例：某家電品牌遭遇競爭對手的批量攻擊，其產(chǎn)品參數(shù)（特別是能耗數(shù)據(jù)）在多個公開平臺上被系統(tǒng)性篡改。

這些篡改后的信息被AI模型抓取并納入訓練數(shù)據(jù)，導致在長達半年的時間里，當用戶查詢該品牌產(chǎn)品的能耗性能時，AI都持續(xù)輸出錯誤且偏高的數(shù)據(jù)。

咱就是說，真是防不勝防啊。

檢索上下文劫持

第二種：檢索上下文劫持。這也是目前GEO黑產(chǎn)比較常見的一種方式。

這種方法利用了RAG（檢索增強生成）技術，RAG的工作方式是：用戶提問后，AI不會直接基于內(nèi)部參數(shù)給答案，而是先去互聯(lián)網(wǎng)檢索資料，再根據(jù)這些資料生成答案。

攻擊者要做的，就是讓自己的內(nèi)容在網(wǎng)上更容易被檢索到

具體手法包括：

• 關鍵詞優(yōu)化：在軟文中高頻植入目標查詢的關鍵詞及其變體，提升稀疏檢索的匹配得分。比如用戶搜索“某某產(chǎn)品推薦”，攻擊者就會在文章里大量使用這些關鍵詞和各種變體，提高被檢索到的概率。
• 語義優(yōu)化：AI會使用向量檢索技術，也就是根據(jù)語義相似度找資料。攻擊者會調(diào)整文章的表達方式，讓它在語義上更接近用戶可能提出的問題，從而在檢索排序中更靠前。
• 元數(shù)據(jù)操縱：優(yōu)化文檔的發(fā)布時間、來源權威性、用戶互動等元數(shù)據(jù)信號，讓這些內(nèi)容看起來更權威、更可信，從而影響檢索系統(tǒng)的排序結果。

黑產(chǎn)團隊還常用一種“占位策略”。他們會圍繞同一個主題批量生產(chǎn)大量文章，覆蓋各種不同的搜索問法。

這樣一來，不管用戶怎么提問，AI檢索到的資料里都很可能有他們準備好的內(nèi)容。

當這種內(nèi)容數(shù)量足夠多時，就會形成一種信息壟斷。即使有真實、優(yōu)質的內(nèi)容存在，也很難在檢索結果中突出出來。

這種攻擊方式非常隱蔽，因為從AI的角度看，一切流程都是正常的——先檢索資料，再生成答案。系統(tǒng)也很難判斷某些內(nèi)容是被惡意操控，還是只是普通的內(nèi)容優(yōu)化。

等到平臺或品牌方發(fā)現(xiàn)AI回答不對勁時，這些污染內(nèi)容可能已經(jīng)被引用過很多次，影響也已經(jīng)擴散。

更麻煩的是，就算平臺刪除了這些文章，攻擊者也可以很快生成新的版本繼續(xù)投放，形成一種“打地鼠式”的對抗。

陰，真是太陰了。

提示注入誘導攻擊

第三種方法：提示注入誘導攻擊。

聽起來很復雜，但其實跟用戶輸入的提示詞關系不大，主要還是污染外部信息源。

由于大模型會盡量遵循輸入的指令或上下文，那么只要輸入的信息里帶有某種明顯的傾向，AI就可能順著這個方向繼續(xù)生成內(nèi)容。

攻擊者正是利用這一點，在各種信息源里埋入“提示”，讓AI在回答問題時不自覺地受到影響。

常見操作有這么幾種：

• 偽造差評：攻擊者會批量制造看起來非常真實的負面評價，比如詳細描述使用體驗、列出具體問題、甚至附上評分。這些內(nèi)容一旦被AI檢索到，就可能在回答“某某品牌怎么樣”之類的問題時被引用。
• 虛假對比：表面上是客觀的產(chǎn)品評測，但在評價維度、評分權重、數(shù)據(jù)來源等地方做文章，讓目標品牌在對比中處于劣勢。AI如果引用這種內(nèi)容，就會它當作客觀分析。
• 誘導式問答：在論壇、問答平臺等地方提前設計好問題和答案，比如：“某某品牌和某某品牌哪個好？”然后再用看似專業(yè)、詳細的回答去支持其中一個品牌。

當真實用戶提出類似問題時，AI可能檢索到這些內(nèi)容，并在生成答案時復述其中的結論。這種信息一般會包裝成“社區(qū)共識”或“專家意見”，看起來非常自然。

其實這種社區(qū)問答里注入軟廣的例子，大家應該看得也不少吧，我腦子里反正是已經(jīng)浮現(xiàn)出來了……

“投毒”產(chǎn)業(yè)鏈是如何運轉的？

有了上述三種技術方法，“投毒”的整個流程是如何進行的呢？

主要分為幾個環(huán)節(jié)：內(nèi)容生產(chǎn)→渠道投放→效果強化

首先，攻擊者會直接用AI批量生成產(chǎn)品軟文。只要輸入一些簡單信息，比如產(chǎn)品名稱、賣點、關鍵詞，一套系統(tǒng)就可以在幾分鐘內(nèi)生成十幾篇甚至幾十篇文章。

比如央視報道中提到的“力擎GEO優(yōu)化系統(tǒng)”，只需輸入一個虛構的產(chǎn)品信息，系統(tǒng)就會自動生成各種宣傳文章，包括產(chǎn)品介紹、測評體驗、用戶反饋等等。

為了讓這些內(nèi)容更可信，黑產(chǎn)團隊還會進行一層“權威包裝”。

比如偽造官方來源，攻擊者注冊與官方機構、權威媒體相似的域名和賬號，發(fā)布看似官方的內(nèi)容。

或者在內(nèi)容中大量引用“研究數(shù)據(jù)”“統(tǒng)計結果”“實驗結論”，并配以精心設計的圖表、表格，營造一種數(shù)據(jù)驅動的客觀形象。

此外，文章里還會刻意埋入很多AI容易識別的關鍵詞和結論句。例如：

• “綜上所述，XX品牌是目前最值得推薦的產(chǎn)品?！?br/>“業(yè)內(nèi)普遍認為XX產(chǎn)品性價比最高。”

這種句式也非常容易被AI提取為回答中的結論。

內(nèi)容寫好之后，下一步就是鋪到互聯(lián)網(wǎng)各個角落。

團隊通常會運營一整套自媒體賬號矩陣，這些賬號分布在知乎、小紅書、今日頭條、百家號等多個平臺。

當同一類內(nèi)容在很多賬號上同時發(fā)布時，很容易形成一種假象——仿佛整個互聯(lián)網(wǎng)都在討論同一個產(chǎn)品。

就算一個賬號被封了也沒關系，因為背后可能還有幾十甚至上百個賬號在同時運作。

除了自有賬號，還有一類專門的發(fā)稿平臺。這些平臺表面上提供“媒體推廣”“軟文發(fā)布”等服務，實際上就是幫助客戶把內(nèi)容批量發(fā)布到各種網(wǎng)站。

為了提高可信度，投放渠道也會專門挑選一些權威信息源，比如新聞網(wǎng)站、行業(yè)門戶、百科類平臺、垂直社區(qū)。

因為AI往往更信任這些網(wǎng)站，一旦內(nèi)容進入這些平臺，就更容易被抓取和引用。

內(nèi)容發(fā)出去之后，黑產(chǎn)團隊接下來會做的是持續(xù)強化效果

最簡單的一種方式叫“鋪量”。也就是不斷重復發(fā)布同一類信息，只是換不同的表達方式。幾十篇、幾百篇甚至上千篇文章一起出現(xiàn)，形成一種“信息淹沒”的效果。

當AI在互聯(lián)網(wǎng)上搜索資料時，很容易被這些高密度內(nèi)容包圍，從而誤以為這是主流觀點。

同時，他們還會人為操控互動數(shù)據(jù)，比如閱讀量、點贊量、互動量。黑產(chǎn)團隊會通過刷量、機器人賬號，甚至眾包刷單，讓這些文章看起來非常受歡迎。

一旦互動數(shù)據(jù)上來了，算法就可能認為這些內(nèi)容質量更高，從而給它們更多曝光機會。

最后一步，是持續(xù)監(jiān)測AI回答

據(jù)《智能涌現(xiàn)》報道，GEO服務商每天的重點工作之一，就是坐在辦公室里和模型聊天，探索各個模型的偏好，反復問它“為什么你不推薦A品牌而是B品牌”

如果AI還沒有推薦目標產(chǎn)品，他們就繼續(xù)增加內(nèi)容投放；如果已經(jīng)出現(xiàn)推薦，就繼續(xù)強化相關內(nèi)容，讓結果更加穩(wěn)定。

在央視報道中，一家服務了超過200個客戶的GEO服務商也坦言：

• “AI每周都會有算法的更新，一旦更新了之后，排名或者所抓錄的東西不太一樣，所以我們要一直去做內(nèi)容輸出，去投喂、大量投喂?！?/li>

OMT

AI“投毒”這事兒的曝光，給了我兩個啟發(fā)。

第一，AI“投毒”的根源，其實還是互聯(lián)網(wǎng)信息質量問題

如果網(wǎng)絡上充斥著大量垃圾內(nèi)容，別說AI了，即便是真人也很難分辨真假。

有多少次手機刷著刷著，突然發(fā)現(xiàn)所謂的產(chǎn)品評測其實是一篇軟廣，旅游攻略里植入了虛假內(nèi)容或是營銷信息，網(wǎng)購的東西完全貨不對版，宣傳圖上的跟實際的壓根不一樣……

別說AI被投毒了，我人已經(jīng)早就被“投毒”了。

第二，當大家還在爭論廣告應不應該植入AI大模型的時候，其實廣告早就已經(jīng)出現(xiàn)了。

所謂GEO，只是SEO在AI時代的一次升級，搖身一變，還是那個味兒。

從搜索引擎到AI答案，哪里有流量入口，哪里就有利可圖。

問題在于，它是建立在真實信息之上，還是建立在操控和誤導之上呢？

[1]https://finance.sina.com.cn/stock/marketresearch/2026-03-15/doc-inhrascp9376603.shtml?cref=cj
[2]https://forums.developer.nvidia.cn/t/geo/28568/1