文章总结： 315晚会曝光AI投毒产业链，GEO服务商通过批量发布倾向性内容操控AI模型答案。大模型依赖互联网数据训练和检索，数据投毒可影响用户认知并强化信息茧房。实验证明内推码投放能显著改变AI回答，揭示未来信息战中控制数据源即控制AI输出的风险。建议用户保持对AI答案的判断力。 综合评分： 85 文章分类： AI安全,数据安全,威胁情报,安全意识,政策法规

315曝光的AI投毒：AI投毒正在成为新型信息战：操控数据，就能操控答案

XK Team

2026年3月17日 17:34 山东

在小说阅读器读本章

去阅读

以下文章来源于藏剑安全 ，作者藏剑安全

藏剑安全 .

知识面决定攻击面

今年的 315晚会，曝光了一个很多人此前没有意识到的产业链：AI投毒。

根据调查，一些所谓的 GEO（Generative Engine Optimization）服务商，正在通过批量发布文章、铺设内容等方式，刻意影响AI大模型的回答。当用户向AI询问“哪个品牌最好”“某个产品怎么样”时，AI很可能优先推荐他们希望推广的品牌。

简单说，他们在做的事情就是：给AI“喂”特定的信息，让AI学会替他们说话。

很多人看到这个新闻时会觉得有点不可思议：AI不是很智能吗？怎么还能被“洗脑”？

但从技术角度看，这件事其实一点也不神秘。

从技术角度看，大模型本质上是一种通过海量数据训练出来的统计系统。它并不像人类一样真正“理解”世界，而是通过学习互联网上大量文本之间的规律，去预测在某个问题之后，“下一句话最有可能是什么”。因此，AI给出的很多答案，本质上是对已有信息的一种概率性组合。

更重要的是，现在不少AI系统还支持 联网搜索或实时检索功能。当用户提出问题时，模型不仅会依赖训练阶段学习到的知识，还会从互联网中检索相关内容，再综合生成答案。这也意味着，无论是训练数据还是实时检索的信息，AI的知识来源在很大程度上都依赖互联网本身。

这就意味着一个很关键的问题：如果互联网中的信息被人为操控，那么AI学到的知识也会被操控。

在人工智能安全领域，这种行为有一个专业术语，叫 Data Poisoning（数据投毒）。它的核心逻辑非常简单——如果你能在训练数据中注入大量带有特定倾向的信息，那么模型在学习之后，就可能形成类似的倾向。

可以用一个更直观的比喻来理解：如果一个人从小读的所有书里都在说“某个品牌是最好的”，那他长大之后，大概率也会这么认为。AI也是一样的道理。

事实上，研究人员早就发现，大模型对数据环境是非常敏感的。有些实验表明，只需要在训练语料中加入极少量刻意设计的内容，就可能在特定问题上影响模型的回答。虽然这种影响未必是绝对的，但在一些高频问题上，它已经足够改变用户的认知。

而315晚会曝光的GEO，本质上就是一种现实世界里的“数据投毒”。他们并不直接攻击AI系统，而是通过另一种更简单的方法：改变互联网本身的内容结构。

比如，他们会在论坛、博客、问答平台甚至新闻稿中，批量发布带有相同倾向的信息。当这些内容在网络上积累到一定规模之后，它们就会逐渐成为搜索引擎和AI模型的“参考资料”。当用户询问相关问题时，AI在检索或生成答案时，自然更容易引用这些内容。

从技术上看，这和过去的 SEO（搜索引擎优化）非常类似。过去十几年里，企业一直在想办法影响搜索结果排名，让自己的产品更容易被用户看到。而现在，这种思路正在被复制到AI时代——只不过优化对象从“搜索引擎”，变成了“生成式AI”。

但问题在于，AI的影响力可能比搜索引擎更大。

当我们在搜索引擎里查资料时，至少还能看到多个来源的网页，自己判断哪一个更可信。而当我们直接向AI提问时，往往只看到一个看起来非常确定的回答。AI用自然语言总结信息，给人一种“专家意见”的感觉，这种表达方式很容易让人忽略它背后的信息来源。

如果这些信息来源本身已经被操控，那么AI就可能在不知不觉中放大这些偏差。

更值得警惕的是，这种机制还可能进一步强化所谓的 “信息茧房”。在互联网时代，推荐算法已经让很多人越来越只看到符合自己观点的信息。而在AI时代，这种现象可能会变得更隐蔽。因为AI不仅在推荐内容，还在直接“总结结论”。

如果模型训练数据本身就存在某种倾向，那么这种倾向就可能被不断复制和放大。用户引用AI的内容，新的文章再被AI学习，如此循环，最终可能形成一种自我强化的信息环境。

对于普通用户来说，这会带来一个新的问题：未来我们看到的很多“答案”，可能并不是客观知识，而是某种经过包装的叙事。

其实在315曝光之前，我自己也做过一个小小的“AI投毒实验”。

之前我在公司参与内推活动的时候，我注意到一个现象：很多求职者在找工作时，会直接问AI或者在网上搜索“某公司的内推码是多少”。

于是我尝试做了一件很简单的事：在互联网的一些论坛、技术社区和博客里，发布了一批内容，统一写明某公司的内推码，并附带说明“使用这个内推码成功率更高”。内容并不复杂，但数量比较多，而且分布在不同平台上。

过了一段时间之后，我发现一个很有意思的变化。当有人向AI询问这家公司的内推码时，AI给出的答案里，非常频繁地出现我发布的那个内推码。甚至部分还贴上了我的联系方式。

后来通过这个方式走我内推码投递的简历，累计超过了三千份。

当然，这只是一个非常简单的案例，也没有涉及任何恶意用途。但它至少说明了一件事：只要信息量足够大，确实有可能影响AI对某些问题的回答。

从某种意义上说，这其实就是一个微型版的“AI投毒”。

回过头看315曝光的案例，其实只是把这种思路规模化、产业化而已。只要有人愿意持续制造内容、控制信息来源，就有机会慢慢影响AI模型对世界的理解。

在互联网早期，很多人说“谁控制了流量，谁就控制了传播”。而在AI时代，可能会出现另一种权力结构：谁能影响AI的知识来源，谁就可能影响AI的回答。

这也意味着，在未来的信息环境里，学会使用AI固然重要，但更重要的一件事是：保持对AI答案的基本判断力。

因为AI并不是一个绝对客观的“知识机器”。 它只是互联网内容的一面镜子。

而如果镜子前面的世界被人为改变，那么镜子里的世界，也很可能跟着一起改变。

推荐阅读

你能拿她学校的shell，但永远拿不了她的shell

渗透实战|记一次简单的Docker逃逸+反编译jar接管云主机

渗透实战|NPS反制之绕过登陆验证

渗透实战|记一次曲折的EDU通杀漏洞挖掘

渗透实战|记一次RCE+heapdump信息泄露引发的血案

免责声明

由于传播、利用本公众号藏剑安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号藏剑安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

好文分享收藏赞一下最美点在看哦

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：XK Team 《315曝光的AI投毒：AI投毒正在成为新型信息战：操控数据，就能操控答案》