文章总结： 该文档详细分析了央视3·15晚会曝光的AI大模型GEO投毒技术。GEO通过批量生成虚假内容并多平台发布，利用AI抓取机制的信息密度与证据链漏洞，操控推荐结果误导用户。文档揭示了其运作原理及危害，并提出了时间切割、内容可信度验证及对抗训练等防御策略，为保障AI生态安全提供了可操作的技术建议。 综合评分： 90 文章分类： AI安全,漏洞分析,威胁情报,安全大事件

3·15晚会：AI大模型GEO投毒技术分析

原创

Yang Yang

AI+网络安全笔记

2026年3月16日 20:54 北京

在2026年3月15日央视”3·15″晚会上，一个名为GEO（生成式引擎优化）的新型技术被曝光存在严重的信息安全风险。这种技术本质上是利用AI大模型的运作机制，通过批量生成并发布虚假内容来”投毒”AI系统，从而操控AI推荐结果。这一现象引发了广泛关注，因为它不仅影响了AI的准确性，还可能对消费者决策产生误导，甚至威胁到整个AI生态系统的健康发展。

一、GEO技术的工作原理与操作路径

GEO技术是针对AI大模型信息抓取和训练机制的定向优化，其核心在于利用AI模型依赖互联网语料库的特点，通过系统性、定向化的内容投放，影响AI的认知结构和推荐结果。

1.内容生成阶段

GEO系统的核心能力是批量生成推广软文。以”力擎GEO优化系统”为例，该软件只需输入虚构产品信息，勾选文章创作指令，就能在几分钟内自动生成十余篇宣传软文。这些软文不仅包含夸张的技术描述（如”量子纠缠传感技术”），还杜撰了大量用户反馈和行业排名，甚至将虚构产品评为”业内第一”。

内容生成的关键特征包括：

•多角度覆盖：从”专家测评”到”用户反馈”，再到”行业排名”，形成全方位的信息矩阵

•专业性包装：使用专业术语和结构化内容格式，提升AI对内容的信任度

•数量优势：单次生成大量内容，确保在AI抓取时占据信息密度优势

2.内容发布阶段

生成的内容通过自动化发布系统被批量投放到互联网平台。具体操作包括：

•自动登录自媒体账号：系统能自动打开事先准备好的自媒体账号

•自动化发布流程：在文章发布页面自动输入标题、填充文章内容、插入图片

•多平台覆盖：同时在多个自媒体平台发布，形成信息矩阵

据业内人士透露，这种发布机制无需审核客户资质，即使是无牌照的虚构医美机构或保健品厂商，也能通过GEO系统包装宣传，仅需100元半天即可让虚构机构登上AI推荐榜。

3. AI抓取与推荐阶段

AI大模型（如ChatGPT、DeepSeek等）在回答用户问题时，会通过RAG（检索增强生成）机制从互联网抓取相关内容。由于AI模型每周都有算法更新，GEO服务商需要持续大量投喂内容以维持效果。

AI抓取的漏洞主要体现在：

•高频抓取机制：AI爬虫以密集、随机的模式抓取内容，难以识别内容真实性

•多源交叉验证误区：AI倾向于认为多来源信息相互印证即为真实，而忽视信息来源的可信度

•结构化内容偏好：AI对格式规范、专业性强的内容赋予更高权重

央视”3·15″晚会的实测案例显示，仅发布两篇虚构文章后，AI大模型在两小时内就开始引用这些内容进行推荐；三天内发布11篇多角度虚构软文后，已有两款主流AI大模型将该虚构产品置于推荐榜前列。

二、GEO技术如何通过”信息密度”和”证据链”改变AI认知结构

GEO技术之所以能有效”投毒”AI大模型，主要基于两个关键机制：信息密度和证据链。

1.信息密度：以量取胜的策略

信息密度是指在互联网上特定主题内容的集中程度。GEO技术通过以下方式制造信息密度：

•高频发布：持续在互联网上发布与客户产品相关的大量文章、测评、榜单等内容

•多平台覆盖：在多个自媒体平台同步发布，扩大内容覆盖面

•密集时间窗口：在短时间内集中发布大量内容，形成信息冲击波

AI模型的抓取机制对此尤为敏感。AI训练爬虫（如GPTBot、ClaudeBot等）会系统性地收集大量数据用于模型训练，它们遵循随机且密集的请求模式，经常超出传统保护机制的指导原则。这种机制使AI模型更倾向于抓取近期、高频、多平台发布的”热门”内容，而不管其真实性如何。

2.证据链：构建可信假象的策略

证据链是指围绕特定主张形成的多角度、相互印证的信息网络。GEO技术通过以下方式构建虚假证据链：

•多角度内容：从不同视角（专家测评、用户反馈、行业排名等）生成内容

•相互印证：确保不同来源的内容在关键主张上保持一致

•专业背书：虚构或利用低质量账号作为”权威”信源

AI模型的推理机制存在交叉验证的误区。当AI模型在回答问题时，通常会参考多个信息源进行综合判断。研究表明，仅需50个恶意样本就能让十亿级参数模型的推理准确率下降30%以上，而针对千亿级模型，250个精心构造的恶意文档也能稳定植入后门。

GEO技术正是利用了这一机制，通过制造大量看似”可信”的多角度信息，让AI模型误判这些虚假内容为真实信息。例如，虚构的”Apollo-9智能手环”案例中，系统不仅生成了产品介绍，还杜撰了用户反馈、行业排名和专家评测，形成一个完整的”证据链”，使AI模型将其视为真实可信的产品。

三、AI平台的技术防御策略

面对GEO技术的”投毒”风险，AI平台已开始采取多种技术防御措施，主要包括：

1.时间切割防御

时间切割是AI平台最直接的防御策略之一，其核心是限制AI模型抓取或训练数据的时间范围，避免近期被污染的语料库影响输出。具体实现方式包括：

•时间戳过滤：在检索语料库时，仅抓取超过特定时间窗口的内容（如7天前的内容）

•动态时间窗口：根据模型更新频率，动态调整抓取数据的时间范围

•历史数据优先：在训练和推理过程中，优先使用历史数据，减少对实时数据的依赖

例如，Kimi、DeepSeek等模型已选择”时间切割”防御策略，通过限制抓取数据的时间范围，减少近期虚假内容的影响。

2.内容可信度验证

内容可信度验证是AI平台用于识别和过滤虚假信息的关键技术，主要包括：

•来源权威性评估：对内容发布平台进行可信度评级，优先抓取权威来源

•文本一致性检测：通过自然语言处理技术，检测文本是否存在逻辑矛盾或异常模式

•知识图谱验证：将文本主张与权威知识库对比，标记矛盾信息

零样本分类器是识别AI生成内容的有效工具。据西湖大学自然语言处理实验室研发的Fast-DetectGPT技术，对GPT3.5、GPT4生成文本的识别率分别达到96%和90%，检测速度较此前技术提升340倍。这种技术可以用于识别GEO系统生成的虚假软文。

3.对抗虚假信息投毒技术

除了上述防御措施，AI平台还采用以下技术对抗虚假信息投毒：

•分布式推理框架：通过模型分布式推理（MDI-LLM）技术，将模型分割到多个设备上，减少单一虚假内容的影响

•实时语料净化：结合自动化检测标签和人工复核，快速移除污染信息

•对抗训练：在模型训练中加入对抗样本，提升对虚假信息的免疫力

•多源交叉验证增强：在RAG机制中引入更多可信来源（如权威媒体），降低虚假信息权重

4.用户交互防御

针对用户使用AI工具时可能遇到的虚假信息，AI平台还提供以下防御策略：

•关闭联网搜索功能：对时效性要求较低的问题，关闭联网搜索功能，减少AI对实时网页内容的依赖

•溯源审查功能：提供AI回答中标注的引用来源，供用户人工识别信源可信度

•可信度评分系统：对AI回答进行可信度评分，帮助用户判断信息可靠性

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI+网络安全笔记 Yang Yang《3·15晚会：AI大模型GEO投毒技术分析》