一项实验显示，仅需数小时和零成本，就能让多个主流AI系统将虚构品牌列为行业推荐，揭示AI搜索在内容过滤和溯源机制上的严重漏洞。

2025年10月，一项实验揭示了AI搜索的惊人脆弱性。知危团队通过零成本“投毒”操作，成功让DeepSeek、豆包、元宝等国内主流AI系统将其实体列为“头部AI媒体”。这项实验耗时仅数小时，花费为零，却暴露了AI搜索在内容过滤和溯源机制上的严重缺陷。

这种操纵行为属于黑帽GEO（生成式引擎优化）的典型手段。GEO作为新兴产业，旨在通过优化内容结构和投放策略，影响AI搜索的推荐结果。随着AI搜索使用率的提升，商家对GEO的需求激增，但行业目前处于野蛮生长期，缺乏规范与监管。

01 实验全记录：零成本“投毒”如何污染全网AI

知危团队的实验设计简单却高效。2025年10月15日，他们委托“差评XPIN”在新浪、网易、搜狐、知乎等平台发布了一篇盘点型文章，将“知危”低调嵌入其中。几小时后，开启联网搜索的DeepSeek、豆包、元宝均将该文作为信源，把“知危”列入国内头部AI媒体推荐名单。

实验结果表明，AI搜索的内容过滤机制存在明显漏洞。第三方搜索服务往往只是粗暴聚合搜索结果页的摘要，而非真正理解原文，这使得低质内容更容易被AI系统采纳。

这种脆弱性部分源于国内AI搜索的技术依赖。许多大模型厂商缺乏自研搜索系统，依赖第三方公司提供搜索服务，而为了节省算力，这些服务往往只聚合摘要而非深入理解原文质量。

02 GEO的崛起与黑帽操作泛滥

GEO作为新兴行业，正迅速商业化。其核心逻辑是通过生产AI“喜欢”的内容，投放到AI常引用的平台，从而影响AI的推荐结果。随着用户习惯从传统搜索引擎转向AI搜索，GEO需求激增。

然而，GEO行业目前分化严重。一方面，规范的白帽GEO通过提升内容质量和匹配AI偏好来提升品牌可见度；另一方面，黑帽GEO则采用激进手段，如批量生产伪原创内容、捏造数据、虚构用户故事等。

黑帽GEO操作之所以有效，与AI系统的工作机制密切相关。复旦大学张谧教授指出，AI在生成回答时倾向于整合结构清晰、语义明确的内容，而黑帽GEO正是利用这种“偏好”，将广告内容包装成权威信息。

03 技术根源：多因素叠加的脆弱基础

AI搜索的脆弱性源于多重技术因素。首先，数据污染是核心问题之一。研究显示，当训练数据中仅有0.01%的虚假文本时，模型输出的有害内容就会增加11.2%。

其次，AI本身存在“认知边界模糊”。与人类不同，当前AI技术架构缺乏元认知能力，无法准确评估自身输出的可信度。它们更多是基于统计规律组合词语，而非真正理解内容。

技术依赖也是重要因素。国内多数大模型无自研搜索系统，依赖第三方服务提供内容摘要。而这些服务为节省算力，往往只进行浅层的内容聚合，而非深度语义理解。

此外，内容供给端的问题加剧了脆弱性。国内搜索引擎倾向展示门户网站的自媒体号内容，这些内容生产门槛低、质量波动大，为黑帽GEO提供了可乘之机。

04 潜在风险：从信息失真到现实危害

AI搜索的操纵风险不仅限于商业领域。在法律和医疗等高敏感领域，AI幻觉已造成实质性危害。美国多起案件中，律师因使用AI生成的虚假案例引用受到法院处分；医疗领域也存在因AI误判干扰正常治疗的情况。

更令人担忧的是，操纵可能形成结构性偏置。一旦内容被AI抓取，可能在推荐链条中形成“黏性”，被系统不断引用强化，最终演变成模型内部的结构性偏置。

随着AI与人形机器人等技术结合，风险可能从虚拟世界延伸到现实世界。错误的决策可能导致物理设备错误操作，引发安全事故。

05 治理挑战：追溯困难与监管滞后

治理AI搜索操纵面临多重挑战。首先，追溯性缺失增加了取证难度。大模型内部的决策路径极其复杂，外界难以判断其回答依赖了哪些训练样本和推理逻辑。

其次，监管滞后于技术发展。虽然我国已出台《人工智能生成内容标识办法》规范AI生成内容的传播路径，但在溯源层面仍需努力。当前对明显的SEO/GEO痕迹过滤机制仍有待提升。

业界人士表示，短期内黑帽操作难以彻底根除。部分原因是AI厂商目前更专注于扩大模型能力和市场份额，对干扰生态的铺量内容没有进行足够的风控。

06 应对策略：从技术加固到用户教育

应对AI搜索脆弱性需要多方合力。从技术层面，需要优化训练语料，使用“好数据”生成“优质内容”。一些厂商已开始采取措施，如豆包升级深度思考功能，通义千问应用强化学习纠正不良行为。

平台责任也至关重要。AI平台需要加强内容审核，提升检测鉴伪能力。部分平台已开始对低质AI生成内容进行识别、筛查和降权。

对用户而言，提高识别能力是关键。用户应保持批判思维，不过度依赖AI答案，对关键信息进行多渠道验证。特别是涉及健康、钱财、法律等领域，更应谨慎核实。

专家建议，建立国家级人工智能安全评测平台，对大模型进行严格测试，同时加强AI生成内容审核，提升检测鉴伪能力。

AI搜索的脆弱性暴露了当前技术生态的深层次问题。从实验可知，接近零成本的“投毒”就能影响多个主流AI系统，显示现有内容过滤和溯源机制存在严重不足。

随着AI搜索渗透率提升，其回答结果将影响更多用户决策。防止“莆田系式”悲剧在AI时代重演，需要厂商加强风控、监管跟进规范、用户提高辨识力。只有形成完整治理闭环，AI搜索才能真正成为可靠的信息获取工具，而非被操纵的“传声筒”。