围绕生成式AI答案的“信息投毒”风波,正在将一个原本处在技术幕后的概念GEO,推向风口浪尖。2026年3月15日晚间曝光的乱象,并非简单的营销作恶,更像一次精准的压力测试,揭开了当前主流AI应用在信任机制上的结构性漏洞。
事件的核心场景极其简单,甚至有些粗暴。一款名为“Apollo-9”的智能手环被凭空捏造,通过一套名为“力擎GEO优化系统”的工具,在短短数小时内,就让一些AI大模型开始一本正经地推荐这款虚构产品。这背后没有高深的黑客技术,只有对AI工作原理的精准利用。
这场风波迫使我们必须正视一个问题,当AI越来越多地扮演信息入口、决策助理的角色时,我们获得的答案,究竟是机器基于海量知识的客观生成,还是精心布局后的商业导向?要看清这一点,就必须深入AI生成答案的“工厂”内部。
越界的优化:当GEO成为信息操纵
理解GEO,即生成式引擎优化(Generative Engine Optimization),需要回归其本质。它本是SEO在AI时代的自然延伸,目标是让优质内容更容易被AI系统发现、理解和引用。如果仅仅是帮助内容生产者遵循AI的“阅读习惯”,比如提供清晰的结构、准确的数据、明确的来源,这仍属于信息分发效率的正常竞争。
然而,315事件所曝光的,是已经完全变质的GEO。它不再是优化,而是污染。其操作手法是通过伪造内容、伪装权威、重复铺设信息链条,系统性地向互联网投喂大量结构化、同质化的信息。当模型为了回答用户问题而上网检索时,这些被污染的“参考资料”就会大概率被选中。
这种行为的性质已经发生根本改变。它不再追求在广告位上获得更高排名,而是试图直接将广告改写成“知识”本身,让商业意图通过AI之口,包装成中立、客观的“标准答案”,这是一种针对AI认知链路的新型操纵。
真正的目标:污染AI的“外部证据链”
公众对AI的一个普遍误解是,认为它的回答完全来自其内部记忆或“思考”。但事实上,当前绝大多数问答、搜索、导购类AI应用,都深度依赖一个关键环节——检索增强生成(Retrieval-Augmented Generation, RAG)。
RAG机制决定了模型在生成答案前,会先像人类一样“查资料”。它会根据用户提问,从外部知识库或实时互联网中检索相关信息,然后将这些信息作为上下文,喂给大模型,最终组织成流畅的回答。这个“查资料”的环节,正是被污染的重灾区。
黑产GEO的核心,并非直接“篡改”或“训练”大模型本身,因为这对于头部厂商的基座模型而言,技术门槛和成本极高。它的攻击目标更为精准且脆弱,污染模型的“外部证据层”。模型本身的参数没有变化,但它回答问题时,桌上已经被摆满了一堆经过精心筛选和操纵的“参考材料”。
攻击者通过批量制造看似中立的测评、科普、榜单或问答内容,并在多个平台、多个账号下反复分发,制造出“很多地方都这么说”的伪共识。这些内容的行文结构又被刻意优化,使其极易被AI抓取、切片和引用。
结果就是,AI在形式上给出了逻辑完整、论据充分的答案,但构成这些答案的“事实”基础,从源头上就已经被污染了。
攻击的新入口与更隐蔽的风险
随着技术演进,针对RAG链路的攻击也在变得更加复杂。普林斯顿大学等机构的研究曾表明,通过对内容进行针对性的GEO优化,比如添加引用来源、使用统计数据、采用结构化表达,就可以将信息在AI生成回答中的可见度提升最高40%。这从学术上验证了AI现有“信任机制”的脆弱性。
这种脆弱性正在催生更隐蔽的攻击方式。例如,在GEO场景下,一种名为“间接提示词注入”的攻击正成为新的威胁。攻击者可以将恶意的、隐藏的指令嵌入到公开发布的网页、文档甚至图片中。当AI系统抓取这些内容作为参考时,这些隐藏指令就可能被激活,从而劫持AI的正常任务,诱导其生成被操纵的答案或执行恶意操作。
这类攻击的防御难度极大,因为它模糊了数据与指令的边界。目前,包括谷歌的CausalArmor、AttriGuard等前沿防御框架正在尝试通过“因果归因”等技术,实时监控AI决策链条,识别异常的指令来源,但这仍是全球AI安全领域尚未完全攻克的难题。这场围绕AI证据链的攻防博弈,显然才刚刚开始。
信任的代价:当AI开始“夹带私货”
GEO乱象带来的根本性危害,在于它动摇了用户对生成式AI作为信息工具的基本信任。在传统互联网时代,用户看到广告,至少能清晰地意识到“这是广告”。但在AI场景下,商业操纵被伪装得天衣无缝。
用户面对的不再是一个独立的广告位,而是一个语气平稳、结构完整、看似经过深度思考和总结的“AI建议”。这种以知识形态出现的营销,其说服力远超传统广告,也让用户的防备心理降至最低。这会直接影响公众如何理解信息、信任信息,以及依据什么作出消费和判断。
也正因如此,一旦付费GEO越过正常优化的边界,滑向伪造和操纵,它就具备了清晰的AI时代黑灰产特征。研究显示,由于黑帽GEO的泛滥,用户对AI答案的信任度已出现显著下滑,部分统计中,这一比例从2024年的接近九成跌至不足七成。
治理的盲区与行业的责任
此次国内多家大模型集中暴露出的GEO污染问题,本质上是全球生成式AI都会面临的外部证据链安全问题。只是在国内,由于长期存在的软文矩阵、伪测评、站群分发等成熟的互联网黑灰产生态,这一问题被更早、更集中地暴露了出来。
事件发生后,尽管字节跳动、阿里巴巴等厂商迅速回应,表示其核心知识体系未受影响或风险可控,但市场普遍认为,各大模型厂商在来源可信度、引用透明度、抗伪共识和产品风控上,仍存在必须补齐的短板。
这不仅是技术问题,更是产品责任问题。模型厂商向用户提供的,已经不是单纯的算法能力,而是一套会直接影响用户判断与信任的答案服务。因此,厂商必须对模型“看到了什么、引用了什么、为何这样推荐”承担起责任。
AI原生安全,不能只是在模型外部套上传统的防火墙,更核心的是要深入模型的认知链路,建立起对外部证据链的审查、过滤和溯源能力。这包括对信息源进行分级和权重评估,对异常集中的“伪共识”信息保持警惕,以及在答案中为用户提供清晰、可验证的来源追溯。
重建信任:在信息污染中清醒导航
GEO乱象的爆发,并非AI技术本身的失败,而是其走向大规模应用过程中,必然遭遇的现实碰撞。它预示着,AI时代的信息治理,其核心挑战已从判断内容本身的真假,转向了对内容形成过程与证据链条可信性的审查。
对于企业而言,在部署基于RAG的内部知识库或AI助手时,必须建立起严格的供应商审核与内部数据治理流程。对接入的数据源进行严格的白名单管理,建立持续的内容质量监控与评估反馈闭环,并通过技术手段识别异常注入,已成为保障企业内部AI系统安全的基础。
对于普通用户,则需要建立新的信息消费习惯。那个可以从AI处获得唯一标准答案的时代或许从未存在。在面对AI给出的重要建议时,主动追问信息来源、进行多信源交叉验证、乃至同时咨询不同的大模型,将成为必需的媒介素养。
监管层面,中国网信办等机构虽已出台《生成式人工智能服务管理暂行办法》等框架性规定,但针对GEO这类新型操纵行为的细化标准与执法案例仍有待完善。将AI生成内容纳入广告监管体系,明确其“广告”属性与合规要求,将是未来的关键一步。
最终,信任的重建无法依赖任何单一环节。它需要模型厂商承担起信息守门人的责任,需要企业用户构建完善的风控体系,也需要监管的及时介入和用户自身的清醒。这场围绕AI答案的博弈,将是一场漫长的、动态的“猫鼠游戏”,而保持审慎与追问,是我们在这片被数据浓雾笼罩的新大陆上,唯一可靠的指南。