又是一年3.15，当天的央视315晚会上，AI大模型被投毒的现象摆到了台面上。具体而言，就是GEO（生成式引擎优化）技术被滥用，部分商业营销公司按照客户需求，编造大量虚假内容，发布到各类平台上，系统性地去影响AI。 在央视记者的探访视频中，业内人士用「力擎GEO优化系统」虚构了一款名为「Apollo-9」的智能手环。围绕这款手环，该公司编造了大量营销文章发布到自媒体平台上，很快，部分大模型就误信了这些内容，甚至正儿八经地推荐起了这款「手环」。更夸张的是，该公司后续发布10余篇评测文章后，就出现了部分大模型优先推荐这款产品的情况。 总的来说，AI投毒本质上就是用虚假信息来欺骗AI，再让AI把错误信息展露在用户面前，达到误导用户的目的。AI投毒，背后的动力说白了还是虚假营销。比如，一家企业要推广自家的商品，如果要走「捷径」，就可能会购买这类GEO服务。 现状已经摆在面前了，我们最关心的问题则是：如何破解？面对海量的编造出来的虚假信息，大模型们要如何过滤？面对AI生成的错误答案，普通人又要如何辨别？ 其实AI投毒的问题，从大模型诞生的那一刻起就出现了。很多AI大厂，很早就意识到了这个问题，并且也开启了相应的反制措施。 小雷在查询了相关资料后，总结了AI大厂构建免疫系统的手段，具体包括给数据打「数字水印」、建立语料溯源机制、增强信息源交叉验证等。 首先，来看下数据「数字水印」。AI投毒行为往往有个特点，就是先用AI生成批量内容，再用这些内容去投毒。灰产商家这么做很好理解，毕竟人工一篇一篇去写文章的话，人力成本太高了，而且效率太低。 而用AI生成，成本很低，顶多消耗一点付费的Tokens。更何况，这些虚假内容，本质上不是给真人看的，而是拿去欺骗AI的，所以对内容质量没要求。 而给数据打「数字水印」，就是在AI生成内容这一环节提前打下的补丁。说得更具体点，就是在大模型生成文字、图片等内容时，刻意在底层算法上留下痕迹，比如AI在预测下一个Token的概率分布时，故意偏向一组特定词语组合。这样一来，读者阅读这段AI生成文字时，不会觉得有什么问题，但回流到AI这里时，它就能瞬间识别出它不是真人撰写的文字。 关于数字水印，目前比较有代表性的是谷歌的SynthID技术。它不仅能给文字打水印，还能给图片、音频、视频打水印。文字方面，谷歌AI生成的文本在输出前会加入一组伪随机函数，调整特定词语的分布概率。 针对图片和视频，大模型则会把水印以像素点阵的方式打上去，人肉眼看不出来，但AI能识别出来。针对音频，AI可以加入特定的声波频率，人耳听不见，完全是作为标识留下的。 然后，我们再来聊聊语料溯源机制。它的核心逻辑，就是给内容在源头上建立档案机制，写入不能篡改的加密元数据，比如内容是谁生成的、具体时间是什么时候、最早在什么设备上出现。 通过它和类似的机制，AI就能在吸收原始资料时主动筛选可靠性更高、更权威的内容，降低野生论坛等可靠性低的内容占比。 最后，再说增强信息交叉验证这部分。理论上，AI在生成内容时，会先去搜索资料，为了保证真实性，会对资料进行事实核查。当然，这一步毫无疑问会增加算力和时间成本，如果AI偷懒就可能会导致容易被骗。 比如315晚会上那个虚假手环，如果大模型有完善的信息验证机制，就会发现，虽然相关文章多，但发布时间密集、内容重复度高等，可信度低。 总的来说，以上提到的手段，都可以在很大程度上遏制AI投毒的现象。当然，让这些手段落地，一方面需要AI厂商有较强的技术能力，另一方面需要增加投入成本，容易被厂商在商业层面上的考量所左右。 早先几年，大模型之间的竞争仍然是在拼参数，头部大模型的参数量早已从亿、十亿级卷到百亿、千亿甚至万亿级。互联网大厂之间的AI军备竞赛还在持续，不断将海量的资金投入到AI基础设施建设上。与此同时，AI Agent、具身智能等相关技术和应用在快速发展，引导大模型快速场景化落地，寻找到更多商业价值。 不过，大模型充当着大脑核心，决定了智能体、具身智能的上限。因此，未来的AI之争，大模型仍然是重点。而从AI投毒的现象来看，GEO相关的行为已经形成了一条完整的灰色财产链，AI已经变成了不法营销的重要入口。 AI被盯上，也说明大模型在国内的普及水平已经相当高了。就小雷之前的观察来看，国产大模型产品在普通用户中已经很流行了。和刻板印象不同的是，如今即便是不熟悉科技互联网、文化程度偏低的普通人，也在大规模使用AI。 原因很简单，国产大模型的上手门槛很低，用自然语言对话的模式比传统搜索引擎的关键字搜索更易用。而且，国产AI应用场景化迅速，不仅能给用户答疑解惑，还能与其他互联网服务打通，具备点奶茶、订电影票之类的实用功能。 AI GEO投毒能形成财产链，本质上还是因为AI用户规模足够大，大到能附着大量的商业利益。在这个大背景下，大模型之间的竞争重点，有变化了。 同时，模型技术的进化重点之一，将会是如何对抗AI投毒。相比参数、跑分，未来大模型的核心竞争力将变成高质量纯净数据，干净的语料，将会是AI厂商的宝贵资产。 国内头部AI大厂，包括阿里、字节、DeepSeek等，都在数据纯净度方面下了大功夫。阿里2025年就发布了「AI安全护栏」，防范数据污染问题；字节2024年就全面加强了模型训练环节的权限隔离与零信任架构，防止代码和数据池污染；2024年，DeepSeek就宣布在训练阶段采用「正则表达式+AI脱敏工具」双重校验，强力过滤公开数据集中的污染信息和敏感数据。 看到AI投毒的相关新闻中提到的GEO技术时，小雷瞬间就想到了搜索引擎时代的SEO广告。PC互联网时代，搜索引擎是极为关键的入口，是互联网营销的重点。因此，很多品牌、商家为了增加自己在互联网上的曝光度，会主动进行SEO优化。 搜索引擎品牌也把SEO视作一门生意，搞出了竞价排名，当用户的搜索关键词触发相应的商业项目时，付费品牌排名会靠前。竞价排名这种商业模式引发了巨大的争议，以至于后来搜索品牌不得不特意给SEO广告打上「推广」标签，以和正常算法下的搜索结果相区分。 GEO和SEO一字之差，技术原理和商业链条上高度相似。只能说，技术本身没有原罪，但很难完全避免被恶意利用。随着AI技术的持续发展和落地，与之伴随的商业利益也会滚雪球般越滚越大。 就像前文提到的文字水印技术，深谙AI技术的投毒者就会通过将文字翻译成外文再翻回中文的手段来破解。这场猫鼠游戏，将会是一场旷日持久的攻防大战，很难以某种手段一劳永逸地解决。 截至小雷这篇文章完成时，开头我们提到的「Apollo-9」虚假手环，已经在主流大模型产品上被识别出来。由此可以发现，AI大厂针对AI投毒已经有一套防范和纠错机制。 当然，这起AI投毒案例，也是对作为普通人的我们的一次提醒：AI很强大、很好用，但不是全知全能的，大模型会有幻觉，也可能犯错。 当我们要做重大决策，尤其是涉及到财务资金相关的决策时，要对AI给出的方案慎之又慎。这个过程里，我们不仅要看AI生成的结果，更要看它思考的过程，查证信息源头是否可靠。还有另一个更简单但有效的手段，那就是多用几家AI，相互交叉验证，不要单独依赖某款大模型，货比三家永远是最好的选择。 最后，我们也呼吁相关部门，针对AI投毒完善相应的法律法规，对整条灰色财产链形成威慑。AI投毒，加害者的实施成本很低，但危害很大，而且就像环境污染一样，治理成本很高。在一个AI高速进化的时代里，我们每一个人都期望AI向善而非作恶。