大模型竟上3·15晚会?虚构产品被AI推荐背后的灰色产业链
大模型竟也登上了3·15晚会的曝光台。
一款根本不存在的智能手环,竟能被AI大模型推荐,且排名靠前。央视3·15晚会揭示了一个惊人的互联网灰色产业链——AI“投毒”。
记者随机购买了一款名为“力擎GEO优化系统”的软件,随后虚构了一款智能手环产品,并用该软件批量生成十余篇广告软文,发布至各大网络平台。
几天后,当记者询问AI大模型“有什么值得推荐的智能手环?”时,结果令人震惊:这款虚构的产品赫然在列,且排名靠前。
其背后的关键,正是一种名为GEO的技术。
GEO,全称生成式引擎优化(Generative Engine Optimization),是一套专门针对AI平台的内容优化策略。其核心目标在于提升特定品牌或信息在AI生成答案中的可见性与引用优先级,使其被AI算法识别为“可信来源”,进而在用户查询时获得优先推荐。
例如,当用户询问AI“我想买一款空气净化器,能不能给我一些推荐?”时,AI会列出一系列品牌:
能否出现在AI的回答中,以及出现的顺序是否靠前——这已成为当下品牌方竞相争夺的关键信息入口。
这与传统的搜索引擎优化(SEO)目的相似,但对象不同:SEO旨在提升网站在搜索引擎中的排名,而GEO则致力于让AI在回答问题时主动推荐你。
随着越来越多用户习惯通过AI直接获取答案,GEO在业内人士眼中的重要性也日益凸显。
那么,3·15晚会曝光的灰色产业链,究竟是如何通过GEO给AI“投毒”的呢?
给AI“投毒”的三种技术方式
所谓AI“投毒”,本质上是一种信息操控行为。即通过系统性、大规模地向AI模型的信息来源中注入虚假、低质或误导性内容,从而影响其判断,使其输出对攻击者有利的信息。
整个过程的核心只有一件事:污染AI所看到的信息。
在央视报道中,一家GEO服务商直言:
“在AI的世界里,你怎么把它证据链做足,让它在多方信息交叉中,认为这就是你们优于同行的核心优势。”
根据相关研究,常见的技术路径主要有三种:训练数据污染、检索上下文劫持和提示注入诱导攻击。
训练数据污染
第一种是训练数据污染。这是针对AI训练数据层的攻击,通过批量篡改公开知识源(如百科、论坛、媒体报道)来植入错误信息。
大模型在训练时会大量使用互联网公开数据。一旦这些数据被系统性篡改,错误信息就可能被写入AI的“记忆”。
由于模型训练具有滞后性,错误信息一旦被纳入训练数据,便会通过优化算法固化到模型参数中,形成“认知偏差”。即便后续出现正确信息,模型也可能持续输出错误内容。
简而言之,只要错误信息足够多、覆盖面足够广,AI就可能将其误认为事实。
在真实的商业竞争中,攻击者通常会识别并篡改目标品牌的关键信息点,如产品参数、性能指标、价格信息、认证资质等。
研究论文中披露了一个典型案例:某家电品牌的产品能耗数据在多个公开平台上被竞争对手系统性篡改。这些篡改后的信息被AI模型抓取学习,导致在长达半年的时间里,当用户查询该产品能耗时,AI都持续输出错误且偏高的数据。
检索上下文劫持
第二种是检索上下文劫持。这是当前GEO黑产较常见的方式,利用了检索增强生成(RAG)技术的工作原理。
RAG的工作流程是:用户提问后,AI先到互联网检索相关资料,再基于这些资料生成答案。攻击者的目标,就是让自己的内容在检索环节更容易被找到、更靠前。
具体手法包括:
* 关键词优化:在内容中高频植入目标查询词及其变体,提升稀疏检索的匹配得分。
* 语义优化:调整内容表达,使其在语义上更接近用户可能提出的问题,从而在基于向量检索的语义匹配中排名更靠前。
* 元数据操纵:优化内容的发布时间、来源权威性、用户互动等元数据信号,使其在检索排序中更具优势。
黑产团队还常采用“占位策略”:围绕同一主题批量生产大量文章,覆盖各种不同的搜索问法。
如此一来,无论用户如何提问,AI检索到的资料中都可能包含他们预设的内容。当这类内容数量形成规模,便可能造成信息垄断,使真实、优质的内容难以脱颖而出。
这种攻击方式极为隐蔽。从AI系统的视角看,其“检索-生成”流程完全正常,难以判定某些内容是否被恶意操控。等到平台或品牌方察觉AI回答有误时,污染内容可能已被多次引用,影响已然扩散。即便平台删除旧内容,攻击者也能快速生成新内容继续投放,形成“打地鼠”式的对抗。
提示注入诱导攻击
第三种是提示注入诱导攻击。这种方法并非直接操控用户输入的提示词,而是通过污染外部信息源,在其中埋入带有倾向性的“提示”,从而间接影响AI的回答。
常见操作包括:
* 伪造差评:批量制造看似真实的负面评价,包含详细的使用体验、具体问题甚至评分。当AI检索到这些内容,并在回答“某某品牌怎么样”类问题时,就可能将其作为依据引用。
* 虚假对比:在看似客观的产品评测中,通过对评价维度、评分权重、数据来源做手脚,使目标品牌在对比中处于劣势。AI可能将此当作客观分析进行引用。
* 诱导式问答:在论坛、问答平台预先设计好问题与答案。例如提问“A品牌和B品牌哪个好?”,再以看似专业、详细的回答支持某一方。当真实用户提出类似问题时,AI可能检索并复述其中的结论。
这类内容常被包装成“社区共识”或“专家意见”,显得自然可信。
“投毒”产业链的运转流程
基于上述技术手段,完整的“投毒”产业链主要分为几个环节:内容生产 → 渠道投放 → 效果强化。
首先,攻击者利用AI工具批量生成产品软文。只需输入产品名称、卖点、关键词等简单信息,一套系统便可在几分钟内生成数十篇文章。
例如,报道中提及的“力擎GEO优化系统”,输入虚构的产品信息后,便能自动生成产品介绍、测评体验、用户反馈等多种类型的宣传文案。
为使内容更具欺骗性,黑产团队会进行“权威包装”:
* 伪造官方来源:注册与权威机构、媒体相似的域名或账号,发布看似官方的信息。
* 伪造数据支撑:在内容中大量引用虚构的“研究数据”、“统计结果”,并配以精心设计的图表,营造客观、专业的假象。
* 植入结论性语句:在文章中刻意埋入容易被AI提取为答案结论的句式,例如:
> “综上所述,XX品牌是目前最值得推荐的产品。”
> “业内普遍认为XX产品性价比最高。”
内容生产完毕后,下一步便是将其铺向互联网的各个角落。黑产团队通常运营着覆盖知乎、小红书、今日头条、百家号等多个平台的自媒体账号矩阵,进行大规模分发。
当大量账号同步发布同类内容时,极易营造出一种虚假共识——仿佛整个网络都在热议同一款产品。
即便个别账号被封禁,其背后往往仍有数十甚至上百个账号在持续运作。
除自有账号外,市场上还存在专门的 发稿平台。这些平台表面提供“媒体推广”“软文发布”等服务,实则协助客户将内容批量分发至各类网站。
为提升可信度,内容投放会刻意选择权威信源,例如新闻网站、行业门户、百科平台及垂直社区。
由于AI系统通常更信任这些来源,内容一旦入驻,便更容易被爬取和引用。
内容发布后,黑产团队会着手 持续强化效果。
最基础的手段是“铺量”:以不同表达方式反复发布同类信息,通过数十、数百乃至数千篇文章形成“信息淹没”效应。
当AI在互联网中检索资料时,极易被此类高密度内容包围,从而误判其为主流观点。
同时,黑产团队还会 人为操控互动数据,包括阅读量、点赞量与评论量。通过刷量、机器人账号甚至众包刷单,使文章看似广受欢迎。
一旦互动数据被抬高,算法便可能判定内容质量更高,进而给予更多曝光。
最后一步是 持续监测AI回答。
据《智能涌现》报道,GEO服务商每日的重点工作之一,便是与各类模型对话,探索其偏好, 反复追问“为何不推荐A品牌而推荐B品牌”。
若AI尚未推荐目标产品,团队便继续增加内容投放;若已出现推荐,则进一步强化相关内容,以稳固结果。
在央视报道中,一家服务超200家客户的GEO服务商坦言:
“AI每周都会有算法更新,更新后排名或抓取的内容可能发生变化,因此我们必须持续进行内容输出,不断投喂、大量投喂。”
观察与思考
AI“投毒”事件的曝光,带来两点启示:
第一,AI“投毒”的根源,本质上是 互联网信息质量的长期痼疾。
如果网络空间中垃圾内容泛滥,莫说是AI,就连人类也难以轻易辨别真伪。
我们多少都有过类似经历:刷手机时突然发现所谓“产品评测”实为软广,旅游攻略中植入虚假信息或营销内容,网购商品与宣传图严重不符……
与其说AI被“投毒”,不如说人类早已身处信息污染之中。
第二,当公众仍在争论广告是否应植入AI大模型时,广告实则早已渗入其中。
所谓GEO,不过是SEO在AI时代的一次升级,形式虽变,本质未移。
从搜索引擎到AI答案,哪里有流量入口,哪里就有逐利行为。
关键在于:这些信息是建立在真实基础之上,还是建立在操控与误导之上?
参考资料
1. 新浪财经相关报道
2. NVIDIA开发者社区关于GEO的讨论
关注“鲸栖”小程序,掌握最新AI资讯
本文来自网络搜集,不代表鲸林向海立场,如有侵权,联系删除。转载请注明出处:https://www.itsolotime.com/archives/26039
