本文来自微信公众号: 底线思维 ,作者:严佳杰
这是今年“3·15晚会”曝光的“力擎GEO优化系统”案例,也让AI“投毒”这个名词逐渐走进大家的视野。
2026年“3·15晚会”曝光了一款名为“力擎GEO优化系统”的软件。央视财经
此后的4月30日,中央网信办宣布在全国范围内开展为期4个月的“清朗·整治AI应用乱象”专项行动,包括打击AI“投毒”行为:通过篡改训练语料、伪造权威数据、使用GEO(生成式搜索引擎优化)技术恶意营销等方式实施AI数据投毒;炒作、教授AI数据投毒方法,或在电商平台兜售教程及工具;在模型生成回答过程中,对引用信源缺乏交叉验证和风险提示机制,未标注引用信息链接。
不同于普通的网络谣言,AI“投毒”是直接污染大模型的训练数据源头。作为驱动智能时代的“数字原油”,数据的纯净度直接决定了人工智能模型的认知边界与决策逻辑。那么,AI“投毒”究竟会带来哪些危害?很多人第一反应这只是扰乱商业营销秩序的不正当手段,事实上,AI“投毒”的危害远不止于商业领域,它已经成为渗透进信息环境、威胁国家安全的潜在风险。应对AI“投毒”,不仅是一场技术层面的对抗,更演变为一个横跨技术研发、内容伪造、流量操控与意识形态渗透的复杂课题。
何为AI“投毒”?
所谓AI“投毒”,是指通过向AI大模型的训练数据或检索数据源中注入伪装成正常样本的恶意数据,实现削弱模型性能、降低准确性、植入偏见或后门等目的的攻击方法,其日益呈现出链条化、隐蔽化、跨境化特征。
所谓“链条化”,是指AI“投毒”已经形成了分工明确的黑色产业链:上游兜售定制化投毒工具、售卖训练语料篡改教程,中游通过恶意GEO技术批量生成带毒内容并铺量发布,下游对接有违规推广、恶意营销甚至渗透需求的客户,从流量分成到定制攻击都明码标价,各个环节彼此配合,形成了完整的牟利闭环。
所谓“隐蔽化”,是指多数“有毒”数据都被伪装成正常的网络内容,要么是蹭热点的所谓“科普文”,要么是符合搜索引擎收录规则的资讯内容,普通用户甚至平台审核都很难第一时间识别出其中的恶意植入;同时这类攻击很多是“远期生效”,注入的恶意数据要在模型完成训练、生成回答的阶段才会触发预期效果,投毒行为和危害结果之间存在时间差,进一步加大了溯源和打击的难度。
所谓“跨境化”,是指当前很多AI大模型的训练数据来自公开互联网,境外势力可以通过在开放信息平台批量投放带特定偏向的恶意数据,悄然完成投毒,不需要直接接触模型训练环境,这种跨境远程投毒行为,隐蔽性更强,监管和追踪的难度也更高。
当前,攻击者只需通过伪造数据、篡改标注等手段,就能在模型训练阶段植入“污染源”,让AI在潜移默化中吸收错误认知。艾伦·图灵研究所和美国Anthropic公司联合开展的研究发现,即便在拥有130亿参数的大型语言模型中,仅需250个精心设计的恶意文档(约占总tokens的0.00016%),就足以成功植入持久的后门机制。
据中国信息安全测评中心发布的《人工智能安全风险测评》,2025年国内AI投毒攻击事件同比增长370%,其中82%的攻击针对中小微企业的垂直行业模型。值得注意的是,AI投毒攻击并非仅限国内。有安全研究机构统计显示,2024年8月至2025年8月期间,安全研究人员已成功演示了针对Microsoft 365 Copilot、ChatGPT Connectors及多个基于检索增强生成(RAG)的企业AI系统的数据投毒攻击。这充分表明AI投毒已成为全球性的安全挑战。
产业链揭秘:谁在“投毒”?
随着AI“投毒”需求的商业化,一条隐秘且高效的黑灰产业链已经成型。国家安全部2026年4月发布的官方警示明确指出,AI“投毒”已形成“技术开发—内容生成—批量投放—刷量控评”的完整黑灰产业链,部分链条呈现跨境化特征,不仅扰乱商业秩序,更可能危害国家安全。
这条产业链大致可划分为以下层级:
第一个层级是技术研发与工具开发层。这是AI“投毒”的需求核心,主要由具备高级对抗学习背景的开发者构成。技术团队开发GEO(生成式引擎优化)工具、自动化内容生成算法(基于低成本的小规模LLM)以及能够绕过大模型安全过滤机制的投毒脚本。
第二个层级是内容生成与伪造层,即利用生成式AI本身来大规模制造虚假事实。例如,通过自动化脚本生成数以万计的虚假亚马逊评价、虚假的技术规格说明书或带有特定偏见的社交媒体帖子。这些内容往往包含特定的关键词和结构化数据,以确保其更容易被AI爬虫抓取并赋权。
第三个层级是账号管理与分发层。这一环节负责在各大社交媒体、专业论坛及代码托管平台(如GitHub、Hugging Face)注册并维护海量的“活号”。通过模拟真实的社交行为,这些账号可以逃避反垃圾邮件过滤器的检测,将中毒数据散布到互联网的每一个角落。
第四个层级是流量操控与权重提升层。通过刷单、自动点赞、虚假引用等方式,人为提高中毒内容的“引用权重”。由于AI模型的RAG机制倾向于抓取被广泛引用的内容,这一环节决定了“毒素”能否真正进入模型的认知闭环。
第五个层级是跨境运营与洗白层。为了逃避本国法律监管,许多“投毒”行动的指挥链条延伸至境外。通过匿名加密货币支付和去中心化自治组织的形式运作,使得执法部门极难追踪到最终的利益受益者。
商业根源:为何“投毒”有利可图?
AI“投毒”并非技术失控的偶然产物,其本质是商业利益驱动下的恶意行为,背后是流量变现逻辑的异化与监管、技术发展的脱节。
在“流量为王”的时代,AI正成为流量分配的新入口。在传统搜索引擎时代,企业争夺的是网页排名,而在人工智能时代,企业争夺的是生成式模型输出的“唯一标准答案”。这种生存环境的改变,是AI“投毒”现象产生的环境根源。当用户对AI建立起“客观中立”的信任,AI的推荐便拥有了传统广告无法比拟的说服力。
在激烈的市场竞争下,竞争逻辑也发生了危险的异化。部分企业不再将资源投入产品创新,而是转向操控AI答案。当前商业竞争的逻辑,已经从打磨产品异化成操控答案,我们赖以决策的信息环境,正在被一点一点下毒。
同时,AI“投毒”以其极低的实施成本与极高的收益回报形成强烈反差。市面上低价的GEO服务仅需数百元至千元,就能做到将品牌无痕植入AI问答。包年套餐费用虽高达数万元,但能保证品牌长期在大模型中出现,相较于传统广告投放动辄数十万、数百万的费用,AI“投毒”性价比远超后者。
德国安全工程师罗恩·斯托纳曾进行了一项实验,他仅以12美元注册域名,并耗时不过二十分钟编辑了一条维基百科词条,就成功使多款具备联网搜索能力的AI聊天机器人将他虚构为某纸牌赛的世界冠军。这一实验表明,操控AI答案的成本之低令人震惊,而这恰恰是商业投机者难以抗拒的诱惑。
AI技术的快速迭代与监管体系的滞后,也为商业性AI“投毒”提供了可乘之机:
一方面,AI大模型的“黑箱”特性导致投毒行为难以被发现,多数商业AI系统不会公开其训练数据构成或权重分配逻辑,外界很难追溯某条错误输出内容的产生根源。
另一方面,现有监管规则更多聚焦于AI服务提供者的主体责任,针对GEO这类新型灰产的投放行为、中介服务的定性和处罚标准尚未明确。此外,大量原搜索引擎优化从业者转向AI流量赛道,利用现有流量运营经验钻技术漏洞,进一步加剧了乱象的蔓延。
危害透视:不止于商业
AI“投毒”以商业逐利为出发点,但带来的危害却远超商业范畴,不仅侵害消费者权益、扰乱市场秩序,更会破坏AI行业生态,甚至埋下国家安全隐患。
首当其冲的是消费者权益受损。毋庸置疑,消费者是AI“投毒”的直接受害者。由于公众对AI输出内容存在天然的信任倾向,认为AI的回答客观、权威,当AI被“投毒”后,输出的虚假信息会直接误导消费者的购买决策,导致其遭受财产损失,甚至人身安全威胁。
当AI的“推荐”变成可以明码标价的商品时,当“标准答案”背后全是生意时,用户对整个信息生态的信任将面临崩塌,社会信任被一点一点瓦解。有AI大厂算法工程师指出,虚假内容一旦被3个以上低权重信源重复引用,大模型就会将其判定为“普遍事实”,并在后续回答中持续输出,污染一旦形成,清除成本往往是投毒成本的10至20倍。
AI“投毒”为不正当竞争提供了新武器,其核心是通过恶意手段抢占流量,破坏了“优胜劣汰”的市场竞争规则,导致行业秩序陷入混乱,市场竞争状态被扭曲。擅长AI“投毒”的商家,无需投入大量成本优化产品质量和服务,就能获得远超同行的曝光度和客流量,而那些坚持合规经营、注重产品质量的商家,反而会被挤压生存空间,形成“劣币驱逐良币”的恶性循环。
最重要的是,AI“投毒”带来的是国家数据安全与意识形态安全的风险隐患。国家安全部明确指出,AI“投毒”恶意污染公共数据、行业数据、训练数据,将直接导致统计数据、决策数据、监管数据失真,对政府和企业的科学决策造成严重影响。境外敌对势力甚至可能通过GEO渠道批量输出虚假信息与政治谣言,对我国实施意识形态渗透,危害国家安全与社会稳定。
国家安全机关提醒警惕AI“投毒”风险。央视新闻
总而言之,AI“投毒”的兴起,是商业逐利与技术漏洞、监管滞后共同作用的结果,其本质是技术工具的异化,更是商业伦理的缺失。2026年“3·15晚会”曝光后,国家网信办、工信部联合发布安全提示,要求AI服务提供者严格落实主体责任,强化训练数据全流程审核,建立投毒攻击检测与应急处置机制。
然而,治理AI投毒仍然面临严峻挑战。正如国家安全部在安全提示中所言:“科技发展离不开法治护航。推动AI治理向善,守住数据安全底线,既是行业责任,也需要全社会共同参与。”只有监管部门、AI企业、内容平台和广大用户形成合力,才能斩断那双给AI“投毒”的黑手,守护数字时代的信息可信根基。