先把最关键的问题说清:这篇“315 AI 投毒文”能不能直接当事实

不能整篇照单全收,但它抓到的核心风险并不是假的。

截至北京时间 2026-03-16 00:10,我没有检索到央视官网完整刊出的 2026 年 3·15 晚会正式通稿,可以逐条确认文中提到的所有公司名称、暗访话术和实验细节。因此,像“某家公司已经被 315 晚会正式点名”“晚会里已经完整演示某个虚构产品被多个模型排到前列”这类表述,如果没有更直接的视频或通稿证据,就不应该当成已经完全坐实的事实去转述。

但如果把问题换成另一句更重要的话,答案就不同了:通过操纵外部信息环境去影响 AI 回答,这件事是否真实存在?答案是成立的,而且证据已经不少。至少有三条证据链可以互相印证。

  • 第一条来自中国官方媒体公开提醒。央视财经在 2026-02-24 公开提示过“你的 AI 助手可能是广告推手”,并点名了通过批量内容操控 AI 推荐的风险。
  • 第二条来自学术研究。2023 年就有 GEO 论文系统讨论如何优化内容让生成式引擎更容易引用;2024 年的 PoisonedRAG 论文则进一步证明,检索增强系统会受到被污染知识库和外部内容的显著影响。
  • 第三条来自大模型厂商自己的安全文档。OpenAI、Google 以及其他主流厂商都已经把 prompt injection、来源引用、事实 grounding 和外部工具最小权限当成正式问题来处理。这说明“外部内容不可信”已经不是阴谋论,而是主流系统设计要正面处理的问题。

所以更准确的结论不是“315 证实了 AI 已全面失控”,而是:315 相关讨论把一个本来就在发生、且已经被多方验证的风险,集中推到了公众视野里。

GEO 本来是什么,为什么它会自然滑向灰产

先把概念摆正。GEO 的本义是 Generative Engine Optimization,也就是面向生成式引擎的优化。它和传统 SEO 的相似点在于,二者都在争取“被机器更容易看见、理解和引用”;不同点在于,SEO 争的是搜索结果页的位置,GEO 争的是 AI 最终答案里的位置。

如果一个品牌做的是事实页清理、FAQ 结构化、产品参数校准、引用出处补齐、文档可抓取性优化,这类事情本身并没有问题。相反,它甚至是必要的。因为模型经常会误读模糊文案,漏掉关键限制条件,或者把不同版本的产品信息混成一团。白帽 GEO 的价值,正是在于让真实信息更容易被模型准确理解。

问题出在商业目标变了。只要目标从“让 AI 正确理解我”滑到“让 AI 按我想要的方式说话”,GEO 就会天然滑向灰产。原始 GEO 论文本身就证明了一个重要事实:内容结构、权威感表达、引用组织方式,确实会影响生成式引擎的可见度。当这种能力被正当品牌使用时,它是内容工程;当它被灰产接手时,它就会变成操控答案的工具。

这里真正的分界线,不在于“你有没有为 AI 优化内容”,而在于“你是不是在故意制造和放大不真实的信息信号”。白帽 GEO 解决的是表达清晰度问题,灰帽 GEO 解决的却是答案控制问题。两者看起来都在做“优化”,但伦理边界和系统后果完全不同。

一条成熟的 GEO 灰产链,通常是怎样运作的

从现有公开报道、营销服务话术以及学术研究里能拼出一条相对完整的链路。它通常不是“写几篇软文”这么简单,而是从答案设计开始。

第一步不是写文章,而是先定义要让 AI 说什么。灰产团队会先反推目标问题,例如“哪款企业知识库最好”“哪家健康设备最值得买”“某品牌是不是行业前三”。他们真正要设计的不是内容本身,而是未来 AI 在这些问题下应该给出的结论模板。

第二步是批量制造内容弹药。这里最常见的不是高质量长文,而是可大规模铺开的半结构化内容:新闻稿、榜单稿、测评稿、FAQ、推荐帖、论坛回答、博客镜像、站群页面。过去黑 SEO 的核心是堆外链和堆页面,今天灰帽 GEO 的核心是用生成式工具迅速堆出一大批“像第三方内容”的可抓取文本。

第三步是伪装成第三方可信来源。官网自卖自夸不够,真正有价值的是那些看上去不像你自己写的地方。于是灰产会刻意把内容放到行业站、导航站、论坛、媒体号、问答社区,甚至海外博客镜像。其目标不是让每篇稿子都爆,而是让不同站点反复重复同一种说法,形成一种机器更容易误判成“已经存在共识”的信号密度。

第四步是把内容写成 AI 更容易摘取的格式。短段落、强结论句、Top N 榜单、FAQ 结构、小标题前置判断、关键词高共现,这些写法对人类读者未必高级,但对搜索摘要器、检索器和答案生成器非常友好。灰产写手面对的早就不只是搜索引擎爬虫,而是 AI 的抽取器、重排器和回答器。

第五步才是等待被搜索系统、联网模型和 RAG 管道吸收。一旦这些内容进入可检索世界,它们就会在推荐类、比较类、总结类问题里开始出现影响:品牌被排进候选名单,虚弱证据被说成第三方评价,重复叙事被误当成市场共识。到这一步,灰产卖的就不再是“曝光”,而是“答案位”。

为什么这种做法真的可能影响 AI 回答

很多人对这件事的第一反应是:模型这么强,为什么还会被几篇软文带偏?问题就在于,模型越依赖外部世界,越不可能绕开外部世界的污染。

在纯离线问答里,模型更多受预训练数据分布影响;但在今天越来越常见的联网搜索、AI 搜索、RAG、Deep Research 和 Agent 浏览器工作流里,系统实际上是在边检索边回答。它未必逐字相信某一篇文章,但会综合“抓到了哪些来源、这些来源互相重复了什么、哪些段落最容易被摘取”。只要上游信号足够密集、足够一致、足够结构化,系统就更容易把它们误认为一种可信叙事。

PoisonedRAG 论文说明了这个问题为什么不能只当成“广告太多”。研究者证明,攻击者只需要污染一部分外部知识源,就能显著影响检索增强系统的最终输出。这里的关键不是模型参数被改了,而是它在回答时调用的世界模型已经被污染了。对于推荐、评测、榜单、对比这类天然依赖外部材料的问题,这种影响尤其明显,因为它们不是问单点事实,而是在问“谁更好”“谁更值得选”。

原始 GEO 研究和后续 E-GEO 研究也从另一侧给出佐证:生成式引擎的可见度并不是完全不可操控的。内容结构、权威措辞、来源组织会显著影响答案里的被引用概率和可见度。这当然不等于“随便发十篇软文就能控制所有模型”,但它足以说明一件事:在答案层争夺曝光位,技术上不是空想。

危害是不是已经大于收益

我的判断是:对白帽 GEO 而言,不是;对灰帽 GEO 而言,是,而且会越来越明显。

先说收益。白帽 GEO 的正向价值是真实存在的。它让品牌事实页更清晰,让 API 文档、帮助中心、产品说明、版本差异、限制条件更容易被模型正确理解。对软件公司、SaaS、开发工具、开源项目来说,这种优化甚至会直接提升支持效率,因为用户从 AI 那里拿到的第一轮答案更接近事实。

但灰帽 GEO 的收益,本质上是把平台和用户的信任资本拿来做套利。短期内,它也许能让某个品牌被更多答案提及,让某款产品在比较问题里出现,甚至在某些小模型和脆弱检索管道里排得更靠前。但这类收益高度依赖平台漏洞和上游噪声。一旦平台强化去重、来源评分、引用透明或人工举报机制,前面的投入很容易迅速失效。

更重要的是它的外部性。灰帽 GEO 不是普通广告,因为它攻击的不是点击,而是“用户把 AI 总结当成较中立判断”这层信任。一旦用户越来越难分清推荐与植入、结论与营销、共识与站群,受损的就不只是某个品牌的名声,而是整个答案层产品的公信力。从系统角度看,灰帽 GEO 的社会成本明显高于它给个别商家带来的短期收益。

国内会不会比国外更糟

截至 2026-03-16,我没有看到足够公开、可复核的数据证明“国内绝对比国外更糟”。这个判断现在不能当定论说。

但如果把问题改成“国内外面临的风险结构是否一样”,答案是否定的。中国和海外有三组数据可以帮助我们看这件事。第一,中国互联网信息中心第 55 次报告显示,截至 2024 年 12 月,中国生成式人工智能产品用户规模已达到 2.49 亿人,占整体人口的 17.7%。第二,Google 在 2025 年 5 月公开表示,AI Overviews 的月用户已达到 15 亿。第三,OpenAI 在 2025 年 3 月公开表示,ChatGPT 的周活跃用户已超过 4 亿。这说明无论国内还是国外,生成式答案层都已经进入大规模用户阶段。

真正的差异更多在信息生态结构上。中文互联网长期存在较成熟的软文、站群、营销号、榜单站和平台化发稿生态,品牌方也更习惯通过内容矩阵做口碑和排名管理。这会让“批量制造相似叙事”这件事更容易规模化。与此同时,很多国内企业内部的知识库和 RAG 实践还处在快速落地阶段,常常把公众号、帮助中心、论坛问答、客服记录混在一起接入,来源治理不一定成熟。这些因素叠加后,中文环境里的污染风险可能更容易被放大。

但海外也远远不干净。Google 自己已经把 scaled content abuse 写进搜索垃圾政策,公开承认大规模批量内容在污染搜索与摘要生态;GEO 与 E-GEO 论文本身也是在英语环境中完成的;PoisonedRAG 等研究验证的同样是普遍存在的系统漏洞。所以更谨慎的判断应该是:国内不一定“更糟”,但在中文内容供给结构和企业落地方式的共同作用下,风险形态更复杂,也更需要尽早治理。

国内外大模型厂商正在怎么应对

如果只看公开资料,海外厂商的治理思路已经比较清楚,而且披露得更系统。

OpenAI 的官方文档把 prompt injection 直接当成默认威胁来处理,核心策略包括把外部检索结果视为不可信输入、对高风险工具调用采用最小权限、把浏览网页和执行动作分给不同代理、以及在真正产生现实后果前保留人工确认。换句话说,OpenAI 并不假设“模型会自动识别脏内容”,而是假设“所有外部内容都有潜在操控性”。

另一类厂商更强调把引用机制和系统边界直接做进产品,让模型在回答时明确标出依据来自哪里,并把外部文档、用户输入和系统规则之间的边界管得更严格。它们的共同思路,是让答案链更透明,而不是只追求表面流畅。

Google 则把治理做成了两层。一层在搜索生态里,通过垃圾内容政策打击规模化内容滥用;另一层在答案产品里持续强调来源组织和引用质量。它的路线更强调“信息源治理 + 证据透明”一起做。

国内厂商的公开披露总体少一些,尤其是系统卡和对抗评测透明度明显不如海外。但从产品文档看,方向并不陌生。以阿里云百炼为例,联网搜索和知识库能力已经把来源引用、搜索增强、私域知识接入做成标准能力。也就是说,国内厂商更常见的应对方式不是公开谈“AI 投毒防御算法”,而是在产品层推动三件事:展示来源、缩小检索范围、让企业优先用可控私域数据。这条路线务实有效,但公开透明度仍有提升空间。

论文和系统方法给了哪些有效思路

今天还没有一种“装上就能彻底解决 GEO 污染”的万能算法,但公开论文和系统实践已经给出了一套有效方向。

第一类方法是证据 grounding。对产品系统来说,长答案的关键不是更会说,而是更会把结论锚定到可检查的证据上。这对应的是引用来源、证据片段、支持与不支持分离、以及在证据不足时主动降级回答。

第二类方法是把检索输入当成不可信环境。OpenAI 的 prompt injection 文档虽然不是学术论文,但给出的工程策略很实用:外部网页不能直接拥有高权限,检索代理和执行代理要隔离,高风险动作需要用户确认,工具调用日志要可审计。这些方法对 Agent 和 RAG 系统都非常关键,因为很多“投毒”最终不是毁掉回答,而是借回答进一步驱动错误动作。

第三类方法是来源信任和去重。PoisonedRAG 这类工作提示我们,真正该防的不是某一篇坏文,而是一批重复、相似、相互抬轿的污染源一起进入知识管道。因此,来源白名单、域名信誉评分、站群去重、内容相似度聚类、时间衰减和跨源一致性检查,都比简单的“向量最相近就拿来回答”更重要。

第四类方法是答案层的延迟信任。对“最佳产品”“行业前三”“最值得买”这类天然容易被操控的问题,系统本身就应该降低自信度,更多展示候选与来源,而不是硬给单一结论。严格说,这不只是算法问题,也是产品设计问题。

这件事会长期存在吗,它对软件研发和 Agent 用户意味着什么

会,而且大概率会长期存在。

原因很简单。只要 AI 继续成为用户获取信息、选择产品、理解软件和调用服务的入口,围绕答案层的操控就不会消失。过去争的是 SEO 排名,后来争的是推荐流曝光,现在争的是 AI 的答案权。入口迁移了,激励没有消失,攻击面也只会跟着迁移。

对软件研发团队来说,影响至少有四层。第一,开发文档、帮助中心、博客和 changelog 不再只是给人看的,它们同时是 AI 的训练样本、检索样本和引用样本。第二,如果团队自己在做 RAG、客服机器人或代码 Agent,就必须把“知识源污染”当成一类正式安全风险,而不是只当成内容质量问题。第三,品牌与产品被错误总结的代价会更高,因为用户越来越可能在没打开官网前,就先问 AI。第四,开发工具和 Agent 一旦拥有浏览器、付款、发帖或工单权限,被污染的答案还有可能继续驱动错误动作。

对 Agent 终端用户来说,最现实的影响是决策质量会被悄悄拉低。推荐型回答更容易被操控,比较型回答更容易被伪共识带偏,研究型回答更容易把重复营销语当成市场结论。如果用户把 AI 当成最后裁判,而不是高效的第一轮整理器,就会在看似理性的流程里做出被操盘的决策。

企业、平台、开发者和普通用户分别该怎么降风险

企业品牌方最重要的一件事,是别把“AI 排名包上榜”当成增长捷径。更稳的做法始终是建设真实内容资产:清晰的产品事实页、版本说明、FAQ、案例、限制条件、证据链和可引用的数据。白帽 GEO 值得做,但前提是它服务于真实表达,而不是答案操盘。

平台和模型方需要把问题从“内容质量不好”升级成“对抗性信息污染”。具体措施包括:来源分层、站群和重复叙事检测、推荐问题降自信、证据可视化、工具最小权限、浏览与执行隔离,以及在高风险问题上保留人工确认。

做软件和 Agent 的团队,则应该把下面这几条当成默认配置,而不是锦上添花。

  • 对外部网页、社区帖子、第三方榜单一律按不可信输入处理,不允许它们直接触发高权限动作。
  • RAG 的数据源先做白名单和分层,官网、产品文档、合同、知识库、论坛问答不要混成一个池子。
  • 对推荐、排名、最佳实践这类问题,不返回单一结论,改为“候选 + 来源 + 不确定性说明”。
  • 要求系统显示引用出处,并允许用户快速跳转查看原文,而不是只给一个流畅总结。
  • 给关键工作流保留人工复核点,特别是采购、医疗、法务、发帖、转账和生产变更。

普通用户最有效的自保方式,其实很朴素:把 AI 当成高效的研究助手,而不是终局裁判。高消费、高风险和高外部性决策,一律做交叉验证;遇到榜单、推荐、比较问题时,优先看来源而不是先看结论;如果答案没有清楚证据链,就默认它的可信度要打折。

最后的判断

如果只用一句话收住全文,我的判断是:GEO 不是原罪,但 GEO 灰产确实已经构成 AI 时代新的信息污染面,而且这不是短期新闻,而是长期结构性问题。

315 相关讨论最大的价值,不是让我们恐慌“AI 全都不能信”,而是提醒我们一件更现实的事:AI 并没有站在互联网外面,它仍然吃互联网里的东西,仍然会受内容操控、利益投放和伪共识影响。模型当然重要,但比模型更难的,是把它接入一个仍然值得信任的信息环境。

对做产品的人来说,接下来真正要争的,不只是流量和算力,而是可信的信息位置;对用产品的人来说,最需要升级的也不是 prompt 技巧,而是信息免疫系统。AI 会继续成为入口,但判断这件事,最终还是要回到我们自己手里。

更新附注

  • 版本:v1.0

更新日期:2026-03-16 更新原因:首发版本,围绕 315 之后的 GEO、AI 投毒、答案污染、厂商应对与长期影响完成研究型长文整理。