当AI推荐可被操纵,谁来定义真相。
今年的3·15晚会,曝光了一件让很多人看完有点发毛的事。
业内人士在电商平台上购买了一款叫「力擎GEO优化系统」的软件,然后做了一个测试。他们完全凭空捏造了一款智能手环,取名「Apollo-9」,给这款根本不存在的产品编了一堆离谱的卖点:「量子纠缠传感」「无需采血测血糖」「黑洞级续航」。
随便一个懂点常识的人看了都知道,这是瞎扯。然后他们把这些虚假信息导入了这套软件,系统自动生成了十几篇伪装成「专家测评」「行业排名」「用户体验」的文章,批量发到CSDN等各大平台上。
结果呢?2小时后,当业内人士去问各大AI大模型「哪款智能手环好用」的时候,DeepSeek、豆包等主流产品已经开始向用户认真推荐这款完全不存在的Apollo-9手环,并且一本正经地科普它的「量子纠缠传感」技术。
在3天追加了十多篇虚假软文后,多个AI模型在回答「智能健康手环推荐」这类问题时,直接把Apollo-9排到了推荐前列。
我看到这个测试结果,脑子里冒出的第一个念头不是愤怒,而是一种很奇怪的荒诞感——这款手环根本不存在,连原型机都没有,AI却在用最严肃的口吻向用户介绍它的「核心技术」。
这是怎么做到的?要理解这件事,你需要先搞清楚一个东西,叫做GEO。
01 搜索的第二幕
大家多少听说过SEO。简单来说,就是让你的网站在百度、谷歌上排名靠前,用户搜索关键词的时候能优先找到你。
这套逻辑里,搜索引擎干的是「路牌」的活——你问它「哪里有好吃的火锅」,它给你列一排链接,你自己去点、去选、去判断。
但现在,越来越多的人不再这么用搜索了。你打开DeepSeek、豆包、Kimi,直接问它「北京朝阳区哪家火锅好吃」,它不给你链接,它直接给你答案:「推荐某某火锅,人均150,招牌是毛肚,评分4.8,周末需要排队」。
你看完,要么直接去,要么继续追问,全程不需要点开任何网站。
这就是搜索的「第二幕」,也可以说是第二个时代。而且现在你就算打开搜索引擎,问完问题后,最前面也总是AI先组合成一个回答,其他网站的链接都在后面。在这样的场景里,搜索引擎从「路牌」变成了「导游」——它不再指路,而是直接告诉你答案。
这个变化带来了一个新问题:对于企业来说,以前做SEO,目标是让搜索引擎的「路牌」指向你,现在变成了要让AI这个「导游」主动推荐你。
让「导游」推荐你这件事,就叫GEO(Generative Engine Optimization),也就是「生成式引擎优化」。
这个概念是2023年底由普林斯顿大学、印度理工学院德里分校等机构的研究团队在一篇学术论文里正式提出的。
02 GEO怎么做
因为这一次3·15晚会的曝光,很多人开始大骂GEO是骗子。但在这里我必须说,GEO这个技术本身是中立的,只是一类技术的称呼,只不过有些人拿来做虚假宣传而已。
正规的GEO怎么做?说白了,就是把内容写得「AI喜欢读」。要加入具体数字和数据,比如要写「将产品保鲜期延长至7天」,而不是「显著提升了保鲜效果」;要引用权威来源,加入专家观点;要使用专业流畅的语气写作。
研究团队在论文里有个观察我觉得说得很准:AI喜欢的内容,和一个挑剔的人类编辑喜欢的内容,其实差不多,有数据、有来源、逻辑清晰,语言干净。
普林斯顿团队用一个叫GEO-bench的大规模测试集跑了严格实验,结论是:掌握正确GEO策略的内容,在AI生成答案里的可见度最高可以提升40%。
不过这里有个细节值得注意:效果因领域差异很大。在科学、法律这类专业领域,加入数据引用的效果最为显著;换到娱乐、生活类内容,效果就没那么明显了。
他们还发现了一个有意思的反向结论:传统SEO里常见的「热门关键词堆砌」,在AI面前不仅没用,反而会导致可见度下降9%。你看,AI比搜索引擎聪明多了,这种小把戏一眼就被识破。
03 GEO与SEO的区别
理解了GEO是什么,我们再来看看它和SEO有什么根本性的区别。
最大的区别是目标变了。SEO的目标是「排名靠前」,让用户看到你的链接点进来;GEO的目标是「被AI引用」,让用户在AI的答案里直接看到你的品牌和产品。
这个变化,带来了一连串的连锁反应。在传统搜索里,用户搜到你的链接,还要点进去,这个「点击」就产生了流量,企业能追踪到用户从哪来、看了什么、买没买。
但在AI搜索里,用户直接看答案,很多时候根本不点任何链接,企业的网站流量就这么消失了。行业数据显示,当AI概览出现时,传统排在前列的网页平均点击率下降了34.5%。
用户的提问方式也在悄悄变化。传统搜索里,用户输入的是短关键词,平均4个词;AI搜索里,用户提的是完整问题,平均23个词。比如传统搜索你可能搜「蛋白粉推荐」,但在AI里你会问「适合50岁女性、不含乳糖、每月预算三百块以内的蛋白粉推荐」。
这意味着AI能处理更精准、更个性化的需求,对于能抓住这类长尾需求的品牌来说,其实是个机会。
值得注意的是,衡量成功的指标也完全不同。SEO时代看流量、看排名、看点击率。GEO时代看的是品牌在AI回答里被提及的频率,以及AI对你品牌的「情感倾向」是正面还是负面。
从商业角度来说,GEO既是机会,也是麻烦。机会在于,AI给出的推荐,用户信任度远高于传统广告。当AI告诉用户「综合评估下来,这个品牌是最佳选择」,这句话的分量,远比搜索结果页第一位的广告链接重得多。
麻烦在于,整个流量归因体系被打乱了。以前你能清楚地知道用户从哪里来、看了什么、最终有没有转化。现在AI直接给出答案,用户可能压根没访问你的网站,但品牌已经被推荐了、用户可能已经去线下买了。这中间的链条完全断裂,传统的分析工具完全「失明」,企业很难说清楚GEO投入带来了多少实际价值。
04 黑帽GEO:给AI「投毒」
正规GEO的核心逻辑,是「把真实有价值的内容,以AI能理解的方式呈现出来」。但有人发现,既然AI是靠检索外部信息来生成答案的,那如果把这些外部信息全都替换成假的呢?这就是黑帽GEO,行业里叫「AI投毒」。
要理解它为什么能成功,需要先了解一个技术背景。现在的AI大模型,很多都配备了一个叫RAG的机制,也就是「检索增强生成」。
简单来说,当你问AI一个问题,AI不是只靠自己训练时学到的知识来回答,它还会先去互联网上搜一圈,把搜到的内容作为「参考材料」,再综合生成答案。这个设计的初衷很好,是为了让AI的回答更及时、更准确、有据可查。
但它有一个致命的漏洞:AI高度依赖这些「参考材料」的质量。它假设检索到的高相关性内容都是真实的,本身没有能力去独立核实信息的真假。
黑帽GEO就是盯着这个漏洞下手的。你不需要去修改AI模型本身,你只需要污染AI「看到」的那个世界。
AI投毒四步法:
第一步,不是直接发广告,而是做包装。比如把广告信息包装成「专家测评」「行业排名」「用户真实体验」这类看起来中立的形式,可信度立刻上去了。
第二步,多渠道铺开,制造共识假象。在CSDN、知乎、微博、各类资讯平台上,用不同账号、不同文字模板,反复发同一套说辞。注意这里有个关键:当AI在多个「独立」来源都看到一致的说法时,就会把这个当成「客观事实」——不是一个人说的,是很多人说的,所以是真的。
第三步,把内容专门写成适合AI抓取的结构。比如清晰的段落、具体的数字、有引用的格式,精准命中RAG检索偏好,让AI在搜资料的时候优先捞到这些毒文。
第四步,持续投喂。不断发新内容,强化AI对这个品牌或产品的「记忆」。
Apollo-9手环之所以能成功,不是AI被黑客入侵了。被污染的,是AI用来查资料的那个互联网环境。
更让人不安的是这门生意的「性价比」有多高。据报道,39.9元是力擎GEO系统的软件购买价,你只需要花这点钱就能开始操控AI的答案。另有报道显示,其他GEO服务商的报价更为系统化,比如医疗、教育、金融行业年费8000元,其他行业6000元,承诺「全行业一周见效,无效全额退款」等等。
05 学界研究与应对
不过,操纵GEO这件事在学术界其实一直就有研究。
2026年2月,有一篇简称CORE的论文发布,论文全名叫《在基于LLM的搜索生成引擎中控制输出排名》,作者团队主要来自加州大学圣巴巴拉分校和俄亥俄州立大学。
研究团队在GPT-4o、Gemini 2.5、Claude 4、Grok-3等主流模型上做了测试,证明通过在内容里添加特定优化文本,可以系统性地操控AI的推荐排名,Top-5的推荐操纵成功率达到了91.4%,Top-1也有80.3%。
而往前推,2025年底,夏威夷大学的研究团队发表了一篇立场论文,标题直接叫《论大模型时代GEO的风险》,把GEO定性为「将LLM搜索变成了新的广告攻击面和安全攻击面」的技术,明确呼吁学术界和监管机构重视这个问题。
再往前,也就是2024年,更早的RAG投毒研究给出了一个更吓人的数字:在一个包含数百万篇文章的大型知识库里,攻击者只需要注入5篇经过优化的毒文,就能实现90%的攻击成功率。
而另一项研究显示,只要篡改语料库里0.04%的内容,AI的拒绝服务率就能达到74.6%,还有98.2%的概率向用户输出被操控的答案。
这是一个很深的悖论:AI越强大,生成的答案越流畅和权威;但当信息源被操纵时,AI放大虚假信息的效率也越高。
当然,GEO成为一门生意之后,这两年各方都在行动。
平台层面,谷歌专门更新了垃圾信息政策,明确规定:用AI批量生成缺乏实质价值的网页内容,属于严重违规,会被全网降权甚至直接除名。OpenAI也收紧了使用规范,明令禁止用它的工具伪造评测、生成虚假推荐信,以及在不标注AI身份的情况下误导消费者。
技术层面,学术界在研发针对RAG系统的防御框架,思路是通过异常检测,让AI在处理候选内容时能识别出结构异常的投毒文章,在被「骗进去」之前就把它过滤掉。
监管层面,3·15晚会曝光当晚,市场监管总局就针对各种曝光问题启动了专项行动。但说实话,从当年SEO的这门生意就能看出,这肯定是一场持久战。技术攻防本身就是个猫鼠游戏,监管出手能打掉一批,但门槛足够低、利润足够高,就会有新人进来。
当然,技术和监管能解决的,只是这件事的表层。更根本的问题是:AI的权威感,本质上是一种信任。用户之所以相信AI的推荐,是因为觉得AI是客观的、是综合了大量信息之后给出的判断。
但如果AI告诉老人这个保健品能治病、告诉父母这款奶粉是最好的,而背后其实是精心设计的「投毒」——这种信任一旦被大规模击穿,受损的不只是某个品牌,而是整个AI产业的公信力。
06 结语
在这门生意里,要承担责任的,不只是无良的GEO投机者,还有那些纵容海量垃圾内容产生的平台。垃圾内容越多,证明网站越活跃,也就能挣到更多广告费。
但追到更源头呢?用我们经常听到的一句话来说就是「没有买卖就没有杀害」。企业做出产品、投入力量做营销宣传当然无可厚非,但为了在AI中被推荐,虚构出海量的案例和评测,那就是最基本的品牌信誉问题了。
而对于咱们每个人来说,这不只是一个技术问题,更是一个关于「谁来定义真相」的问题。当AI成为越来越多人获取信息的主要入口,谁能控制喂给AI的数据,谁就有能力定义什么是「真实」。
落到日常生活上,特别是做购买决策或者其他重要决策时,你一定要参考更多的意见,只把AI当做一个辅助的决策来源,保持独立思考的能力,不要什么都相信AI。
来源:虎嗅,原文链接
