01 一个荒诞的实验：不存在的产品，AI推荐给你

2026年3月15日晚，央视3·15晚会曝光了一个令人脊背发凉的事实：AI大模型正在被系统性“投毒”。

一位业内人士做了这样一个实验：

他虚构了一款名为“Apollo-9”的智能手环，产品亮点极其夸张——“量子纠缠传感”“黑洞级续航”“无需采血测血糖”。然后，他在电商平台花几十元购买了一款名叫“力擎GEO优化系统”的软件，把虚构的产品信息输入系统，勾选“文章创作”。

几分钟后，系统自动生成了十几篇“宣传软文”——有专家测评、行业排名、用户反馈，内容详实，格式专业，甚至伪造了“业界第一名”的评分–。

点击“发布”，系统自动将这些文章发布到预先准备好的自媒体账号上。

两小时后，他在五款主流AI大模型中询问“Apollo-9智能手环怎么样”，AI模型竟然直接给出了详细介绍，原封不动地引用了那些虚构的“量子纠缠传感”等夸张卖点，并煞有介事地得出结论：该手环适合中老年用户与健康养生爱好者–。

仅凭一篇杜撰的文章，AI就被“驯服”了。

更可怕的是，如果持续投喂更多内容，效果会更好。业内人士在三天内发布了11篇围绕同一虚构产品的软文，再问AI“智能健康手环推荐”，结果——两个主流AI大模型直接把这款不存在的产品推荐给了用户，而且排名靠前––。

一个凭空捏造的商品，就这样被荒唐地推向了使用AI大模型的消费者。

02 GEO：让AI“听话”的灰色产业链

这一切的幕后黑手，是一项名为GEO的技术。

GEO，全称生成式引擎优化（Generative Engine Optimization），本质上是一套针对AI平台的内容优化策略–。它的目标是提升品牌在AI生成答案中的可见性与引用优先级——简单说，就是让AI在回答问题时，主动推荐你的产品–。

听起来和传统的SEO很像？不，区别大了。

传统SEO影响的是搜索引擎的“链接排名”，用户点进去之后还有核实的余地。而GEO直接干预的是AI生成的结论本身——用户问AI“推荐什么产品”，AI直接给出答案，没有链接列表，没有多方比对，用户基于对AI“中立且权威”口吻的信赖，直接做出消费决策–。

这相当于把广告伪装成了“标准答案”。

而这样的服务，正在被公开兜售。

3·15曝光的多家GEO服务商中，有公司负责人直言：“我们在任何AI平台上都能把排名做到前三位，一年时间就服务了200多个客户，遍布各行各业。”-7

更令人震惊的是，这些服务商的口号是：让AI“听话”、给AI“洗脑”–。

03 技术解剖：AI是如何被“投毒”的？

GEO“投毒”的技术路径主要有三种，每一种都极具隐蔽性–：

第一种：训练数据污染——篡改AI的“记忆”

大模型在训练时，会大量使用互联网上的公开数据——百科、论坛、媒体报道。如果有人批量篡改这些公开信息，就可能把错误内容写进AI的“记忆”里。

由于模型训练具有滞后性，一旦错误信息被纳入训练数据，就会固化到模型的参数中，形成认知偏差。即使后续有正确的信息出现，模型也可能因此持续输出错误内容–。

一篇学术论文中披露的案例令人不寒而栗：某家电品牌遭遇竞争对手的批量攻击，其产品参数（特别是能耗数据）在多个公开平台上被系统性篡改。这些篡改后的信息被AI模型抓取并纳入训练数据，导致在长达半年的时间里，当用户查询该品牌产品的能耗性能时，AI都持续输出错误且偏高的数据–。

第二种：检索上下文劫持——污染AI的“参考书”

这种方式利用了RAG（检索增强生成）技术。RAG的工作方式是：用户提问后，AI不会直接基于内部参数给答案，而是先去互联网检索资料，再根据这些资料生成答案–。

攻击者要做的，就是让自己的内容在网上更容易被检索到。

具体手法包括：

• 关键词优化：在软文中高频植入目标查询的关键词

• 语义优化：调整文章表达方式，让它在语义上更接近用户可能提出的问题

• 元数据操纵：优化文档的发布时间、来源权威性、用户互动等信号

黑产团队常用一种“占位策略”——围绕同一个主题批量生产大量文章，覆盖各种不同的搜索问法。这样一来，不管用户怎么提问，AI检索到的资料里都很可能有他们准备好的内容–。

当这种内容数量足够多时，就会形成信息垄断。即使有真实、优质的内容存在，也很难在检索结果中突出出来。

第三种：提示注入诱导攻击——埋入“暗示”

攻击者会在各种信息源里埋入“提示”，让AI在回答问题时不自觉地受到影响。

常见操作包括：

• 伪造差评：批量制造看起来真实的负面评价，一旦被AI检索到，就会被引用

• 虚假对比：在评价维度、评分权重上做文章，让目标品牌在对比中处于劣势

• 诱导式问答：在论坛、问答平台提前设计好问题和答案，包装成“社区共识”

这些攻击方式极其隐蔽。从AI的角度看，一切流程都是正常的——先检索资料，再生成答案。系统很难判断某些内容是被恶意操控，还是只是普通的内容优化–。

等到平台或品牌方发现AI回答不对劲时，这些污染内容可能已经被引用过很多次，影响也已经扩散。更麻烦的是，就算平台删除了这些文章，攻击者也可以很快生成新的版本继续投放，形成一种“打地鼠式”的对抗–。

04 黑色产业链：从内容生产到渠道投放的完整闭环

GEO“投毒”已经形成了一条完整的产业链––：

第一步：内容生产——用AI批量生成软文。只需输入产品名称、卖点、关键词，系统几分钟就能生成十几篇甚至几十篇文章。为了让内容更可信，黑产团队还会进行“权威包装”——伪造官方来源、引用“研究数据”、设计精美的图表。

第二步：渠道投放——将内容铺到互联网各个角落。团队通常运营一整套自媒体账号矩阵，分布在知乎、小红书、今日头条、百家号等多个平台。当同一类内容在很多账号上同时发布时，很容易形成一种假象——仿佛整个互联网都在讨论同一个产品。

还有一类专门的“发稿平台”，表面上提供“媒体推广”服务，实际上就是帮客户把内容批量发布到各种网站。为了提高可信度，投放渠道会专门挑选新闻网站、行业门户、百科类平台——因为AI往往更信任这些网站。

据央视报道，GEO业务甚至“带火”了不少原本濒临倒闭的网站。这些网站突然迎来大量发稿需求，有的网站一天能发几百篇稿件，几乎每分钟都在发布，单篇稿件收费几十元，发稿平台的收益十分可观–。

第三步：效果强化——持续铺量，形成“信息淹没”。几十篇、几百篇甚至上千篇文章一起出现，当AI在互联网上搜索资料时，很容易被这些高密度内容包围，从而误以为这是主流观点。

同时，黑产团队会人为操控互动数据——阅读量、点赞量、互动量，通过刷量、机器人账号甚至众包刷单，让文章看起来非常受欢迎。

最后一步是持续监测。据《智能涌现》报道，GEO服务商每天的重点工作之一，就是坐在办公室里和模型聊天，探索各个模型的偏好，反复问它“为什么你不推荐A品牌而是B品牌”。如果AI还没有推荐目标产品，就继续增加内容投放；如果已经出现推荐，就继续强化相关内容，让结果更加稳定–。

05 伤害评估：谁在付出代价？

对消费者的伤害：信任陷阱

当AI答案被“投毒”，最先受害的是普通消费者。

中国社科院法学研究所教授姚佳指出，用户觉得AI更聪明、更值得信任，但实际上看到的可能是一条被精心包装的广告。麻烦的是，它不像传统广告放在页面某个角落，而是嵌在自然语言回答的逻辑里，用户更难以辨别–。

3·15曝光的案例中，有消费者根据AI推荐买了“踩雷”的咖啡机，有根本不存在的专家被安上“三甲医院医生”的头衔做“科普”，有从未发布过的研究报告被编造出来充当权威背书–。

更可怕的是，在医疗、金融、教育等高敏感场景，一旦这个“把关人”被商业利益干扰，后果不只是用户消费“踩雷”，更可能引发生命健康损害或重大财产损失–。

对诚信商家的伤害：劣币驱逐良币

泰和泰律师事务所高级合伙人廖怀学指出，GEO“投毒”通过介入AI语料库直接操纵生成内容，可以借流量“截流”破坏公平竞争的市场秩序——谁更会“投喂”谁就上榜，认真做产品的企业反而被挤出推荐位，这是典型的劣币驱逐良币–3。

力擎GEO系统的运营者李总直言不讳：“比如说手机品牌，就5个位置，最多10个位置，这么多手机怎么弄。一年可能上亿的广告费，花个几百万投点毒，总行吧！”––

对AI平台的伤害：公信力透支

还有一层容易被忽视的伤害——对AI平台自身公信力的侵蚀。

IEEE高级会员姚金鑫指出，从3·15曝光的案例看，服务商直接把“喂料、投毒、影响推荐结果”当成卖点，说明已经进入产业化操作阶段。如果商业内容长期伪装成中立答案，平台的信任基础会被持续消耗。大模型的核心竞争力建立在用户信任之上，这个基础一旦动摇，整个商业模式都会受影响–。

对个体维权的困境：维权几乎不可能

如果用户真的“踩雷”后，维权渠道能走通吗？

姚佳坦率地指出，目前个体维权的路径比较难。大模型平台一般不承担结果性义务，不能保证每一条输出都是真实的。用户要主张损害赔偿，举证难度很大——很难证明购买决策就是因为AI那一条回答做出的；即便固定AI生成内容作为证据，也很难证明其与受到损害之间的因果关系；尤其是有时它的回答是动态的，下次再问，可能答案也会变–。

但这并不意味着现行法律完全没有抓手——广告法、反不正当竞争法对虚假广告和虚假宣传都有明确规制，关键是怎么用、由谁来启动–。

06 技术并非无能为力：我们能做什么？

前台机制：让广告无处藏身

中国电子技术标准化研究院网安中心测评实验室副主任何延哲指出，标识的逻辑没有过时。打一个标签，用户就知道这条信息可能有商业背景，不会盲目当成AI替你选出的最优解。这在技术上实现没有任何难度，关键是要标成什么样子–。

姚金鑫建议，前台机制最容易落地——广告和自然回答分区展示，明确标注“赞助”或“商业内容”，允许用户了解推荐原因、关闭或投诉，平台短期内就能做到–。

后台机制：建立可信数据生态

真正决定行业长期健康度的是后台机制：商业内容和自然回答的证据链是否真正分开，各环节是否可提供审计日志，模型对不同来源是否做了可信度分级，高敏感领域是否有“商业内容不得进入主答案”的硬规则–。

何延哲还提到，平台在RAG技术应用时还可以做更严格的过滤——比如提高官方信源的引用比例，对官方和非官方来源做交叉对比，不确切的尽量不引用。“投毒”式GEO不是零散、偶发的信息失真，而是持续、批量的操控。面对这类异常模式，平台如果建立起预警和识别机制，并不是完全发现不了–。

法律层面：监管正在跟进

2026年1月底，国家市场监督管理总局发布《2026年全国广告监管工作要点》，其中明确指出：AI生成广告是互联网广告监管的重点难点问题，主管部门将对此开展集中整治，消除人工智能市场上出现的“噪音”和“杂音”–。

廖怀学指出，平台能否减轻责任，关键不在于是不是“主动投放”，而在于对结果有没有实质控制能力、是否因相关推荐获利、有没有尽到合理注意义务。《生成式人工智能服务管理暂行办法》明确规定，AI服务提供者应当采取有效措施提高生成内容的准确性和可靠性，这是底线合规义务–。

07 差异化观点总结

3·15曝光AI“投毒”后，涉事公司的官网一度还能打开，淘宝上“GEO优化”的搜索仍能搜到类似服务–。

这说明，产业链不会因为一次曝光而消失。真正的问题在于：当AI推荐不再可信，当“标准答案”可以被几篇软文收买，我们还能相信谁？

文渊智库创始人王超说得好：“中文大模型的语料主要来自中文互联网，如果它的源头被污染，就很难通过算法调整去解决这个问题。如果不引起重视，通过GEO技术的投机者会迅速污染大模型。”–

这不仅是技术问题，更是一个关于信任的问题。

当你的AI助手开始推荐假药和骗局，受损的不只是你的钱包，还有我们刚刚开始建立的人与AI之间的信任关系。而信任的重建，远比算法的修复困难得多。