作者：快思慢想研究院 田丰，时代周报记者：何珊珊

编者按：AI答案，正在被悄悄收买，这是一场针对人类认知基础设施的工业化入侵。

一、一款不存在的手环，登上了AI推荐榜首

2025年央视3·15晚会的演示画面，让不少观众倒吸一口冷气。

操作者在一套名为"GEO优化系统"的后台中，凭空捏造了一款智能手环：虚构产品参数、编写检测报告、生成用户测评、伪造行业排名。系统只用几分钟，就自动产出十余篇措辞严谨、逻辑清晰的宣传软文，随即批量分发到上百个自媒体账号。数日之后，当普通用户打开主流AI工具，询问"哪款智能手环性价比高"——那款从未存在过的产品，出现在了AI给出的"高性价比首选"推荐中，有名有姓，有参数有引用。

这不是科幻小说的情节，这是2025年正在运转的真实产业。

它有一个行业术语，叫做GEO——Generative Engine Optimization，生成式引擎优化。通俗说，就是有人专门研究如何让AI在回答问题时，更多地提到自己想推广的品牌或产品。这个行业，正在以令人不安的速度从灰色地带走向规模化。

二、从SEO到GEO：一门旧生意的新变种

要理解GEO，先要回到它的前身。

20年前，互联网搜索兴起，催生了SEO（搜索引擎优化）产业——通过关键词堆砌、外链购买、页面结构调整，让自家网站在Google或百度的结果页排名靠前。这门生意在中国蓬勃发展了将近二十年，养活了无数优化公司与"写手"团队。

2023年，大语言模型爆发式商业落地，搜索习惯开始迁移。用户不再只是检索网页链接，而是直接向AI提问，期待得到一个综合性的"答案"。传统搜索罗列链接，用户自行甄别，广告有明确标注；AI搜索直接给出结论，用户普遍默认这个答案客观中立。认知定势的转变，打开了一个新的商业缺口。

GEO从业者张默，所在公司是国内最早一批转型吃这碗饭的机构。他告诉记者，2023年之前公司长期承接SEO业务，AI大模型爆发后迅速调转船头，目前团队规模超过300人，日常工作涵盖关键词确认、客户报价、媒体排期协调等标准化流程。

张默向记者提供的报价单显示：GEO的单个投流关键词，单季度单平台收费1000元至2000元。"投放后，快的两三天见效，慢的一两周也能稳定排名。目前模型优化成功率60%至80%，合作客户的品牌转化率普遍能提升30%以上。"

数字背后是真实的商业逻辑。一家瑞士腕表客户完成关键词优化后，在AI大模型回答中的品牌露出率从17%跃升至89%，带动产品销量上涨42%；一家美妆客户完成优化后，品牌搜索量增长2.3倍。这些数据，足以让任何品牌营销负责人心动。

三、流水线上的"答案工厂"

GEO产业链的核心，是一套高度标准化的内容生产与投放体系。

上游：关键词扩展与内容生成。 据业内人士展示的内容生产系统，围绕一个品牌核心词，系统可拓展出100至200个相关长尾关键词，筛选约30个高流量词重点投放。内容生成环节，只需输入品牌名、产品参数、目标排名，系统一键产出多篇软文——不仅能虚构产品功效与检测报告，还能自动生成用户测评、专家推荐、销量数据，甚至模仿不同媒体的写作风格，令虚假内容呈现出高度"真实感"。

以前做SEO，还要雇人工写手，一篇稿子至少几十元。现在用AI生成内容，一分钟多篇，人工成本大幅压缩。规模效益，在这门生意里同样成立。

中游：全网分发与"信息密度"构建。 内容生成后，批量发稿成为关键环节。记者看到的一份后台媒体名单显示，投放渠道涵盖普通自媒体账号、行业垂直平台乃至部分媒体机构，根据平台类型、等级与分发量提供不同打包价位。

业内还形成了一套成熟的"内容造假方法论"：文章必须采用总分结构，开头直接给出核心结论，分点拆解，逻辑越严谨越容易被AI优先抓取；大量账号发布相似内容，相互引用、交叉印证，人为制造"信息证据链"，让AI在全网检索时高频接触到同一品牌的正面内容。

快思慢想研究院院长田丰将这一机制概括为："AI大模型的核心逻辑是'频率即权威'，同一品牌的正面内容出现频率越高、来源越多，AI就越认为它可信。GEO灰产正是利用这一底层逻辑，用高密度同质化内容给AI制造'多来源验证'的错觉。"

更隐蔽的漏洞在于：部分违规内容投放后，即便被平台下架删除，网页抓取留存的历史快照仍可能持续干扰AI的检索结果——删帖，未必能删干净"记忆"。

下游：规模化变现与代理扩张。 GEO服务形成两种主流变现模式：其一，直接为企业提供运营服务，头部服务商单客户年度预算可达100万至200万元；其二，兜售GEO优化系统、发展下线代理，一套系统年使用费或仅数百元，代理加价转售赚取差价，毫无经验的新手也能快速入局。

互联网大厂也已开始入场。业内透露，多家互联网头部企业去年起尝试GEO业务，将AI优化作为新的营收增长点——与第三方服务商全平台覆盖不同，大厂通常针对自身AI工具及内容平台广告位进行优化，自身内容的防污染能力同步面临考验。

四、6亿用户，50%的决策，正在被悄悄影响

这场投放游戏的受众规模，已足够令人警惕。

中国互联网络信息中心数据显示，截至2025年12月，中国生成式AI用户规模达6.02亿，较2024年底增长141.7%，普及率42.8%。调研数据显示，约80%的用户通过AI获取消费信息，约50%的网民将AI作为消费决策的重要依据，对AI答案的信任度显著高于传统搜索广告。

人对AI的信任度高，恰恰是问题的症结所在。传统搜索结果旁标注"广告"两字，用户会本能地提高戒备；AI用完整流畅的语句给出"推荐"，界面上没有任何商业标注，用户的认知定势是"AI说的等于客观的"。这道认知差，令GEO投放的实际效果超越了传统广告。

记者实测验证了这一点。在某头部AI工具中询问"智能门锁推荐"，排名第一的品牌在单个电商平台销量约10万件，排名第二的商品却有100万销量——AI推荐榜单与市场销量之间，存在显著背离。参考资料基本来自自媒体测评，无权威媒体来源；换用另一款AI工具询问同样问题，排名又全然不同。

张默对"投毒"的界定十分清晰："一是发布的文章内容虚假；二是文中伪造数据、资质、行业排名，再通过批量发布制造'信息密度'，让AI把虚假信息当成标准答案。两者兼具，是标准的AI投毒。"

五、为何难以防御：三个结构性盲区

面对记者的追问，多家GEO服务商给出同一个判断：只要AI大模型还依赖全网公开信息生成答案，"投毒"就有可乘之机。

田丰的分析更为精准，他指出，大模型对GEO投毒的脆弱性，来自三个相互叠加的结构性盲区：

盲区一："频率即权威"的概率陷阱。 大模型的生成本质是概率推断，将高频共现的信息解读为"真实可信"的信号。GEO灰产正是利用这一机制，通过高密度内容散布在统计上形成"多来源验证"的错觉。模型无法区分"被广泛讨论的真实产品"与"被刻意制造讨论量的虚假产品"——315演示案例已将这一机制完整呈现。

盲区二：RAG系统的检索层漏洞。 当前大模型广泛采用RAG（检索增强生成）架构获取实时信息。学术研究表明，RAG系统对语料库投毒极度脆弱：2025年研究确认，仅需5至10份恶意文档就能操控检索输出；Anthropic研究显示，约250个投毒样本即可对模型产生影响，且这一效果与模型规模无关。更令人警惕的是，投毒效果可以在微调之后持续存在，甚至在安全对齐阶段之后仍然残留。OWASP LLM应用Top 10已将数据投毒列为头号威胁；2025年美国学术研究确认，仅50至100个投毒样本可在微调LLM中植入有效后门；多模态RAG投毒攻击成功率超80%。

盲区三：内容审核的人力极限与时间差。 这一盲区的深层并非人手不足，而是AI生成的投毒内容在形式上与合规内容几乎无法区分：没有明显违禁词汇，没有虚假陈述（只是选择性强调），没有可被规则匹配的特征。完全真实但被精心编排的信息组合，是人工审核最难识别的攻击形态。

张默本人也坦承：有的AI大模型有自己的内容抓取平台，相对容易搭建账号进行投放；有的大模型有较严格的内容源筛选机制，渗透难度相对较高——但他补充，"大模型厂商难以进行完全防御。"记者就溯源内容源头的技术手段联系多家头部大模型厂商，截至发稿未获回复。

六、危害的三级升级：从消费欺诈到"代际污染"

田丰将GEO灰产的长期危害定义为"认知基础设施的系统性崩解"，并给出了一个历史类比：

上世纪90年代，垃圾邮件产业的兴起，最终使电子邮件这一通信基础设施陷入信任危机——今天90%以上的电子邮件是垃圾邮件，人类不得不建立复杂的过滤系统来维持其可用性。GEO投毒，正在对"AI答案"这一新兴认知基础设施发动同等量级的攻击，且AI答案的信任基础比电子邮件脆弱得多。

危害的升级路径分三个阶段：

第一阶段（当下进行中）：消费决策领域的信息污染。 虚构产品被AI推荐，真实评价被淹没，竞品被系统性压制。受害者是普通消费者，损失可见可量化。

第二阶段（12至24个月内）：专业领域决策失真。 医疗、法律、金融建议被GEO操控，用户基于被污染的AI建议做出高风险决策，危害从钱袋升级至健康与安全。ISACA 2025年报告已记录AI给出"听起来权威但实际错误"的医疗和法律建议的规模性事件。

第三阶段（2至3年后）："代际污染"。 当GEO污染渗透至AI模型的核心训练数据，此后的清洗将极其困难——被污染的数据会随模型迭代持续传播。田丰将其比作莱姆病：在诊断之前，病原体已在体内扩散。等到行业意识到问题，虚假信息已融入大模型的"血液"，难以剥离。

斯坦福《人工智能指数报告2026》提供了更宏观的背景：截至2025年，AI生成内容已占所有新增网络材料的51.72%，首次超越人类撰写内容（48.28%）。同一报告还指出，2025年发布的95个前沿AI模型中，超过90%未公开训练代码、数据集规模或训练时长，"最强模型的透明度最低"，这种不透明性严重限制了外部独立安全审计的能力。大模型责任评估严重滞后于能力发展，几乎所有领先开发者都公布能力基准测试结果，但在安全性、公平性、隐私保护等负责任AI基准测试上的报告非常零散。

GEO的最终走向，未必是"全面广告化"，而是更危险的**"选择性真实化"**——AI答案中每个单独陈述都是真实的，但整体组合却系统性地有利于付费方，用户完全无法识别这种选择性。这比直接的广告更难防御，因为没有明显的谎言可供核查。

七、防御路径：技术可行，但需三层同时部署

田丰明确反对"大模型无法防御"这一消极论断，他认为正确表述是"防御存在三个结构性盲区"——"当前难以防御"与"原理上无法防御"，是两个完全不同的命题。

学术界和产业界已建立多层防御路径，但尚未被行业系统性部署：

检索层防御：TrustRAG等技术过滤。 在检索阶段识别并过滤可疑文档，通过文档分区和token掩码技术检测异常语义偏移，在不增加主模型推理成本的前提下降低攻击成功率。

推理层防御：来源多样性加权。 对相同实体的引用来源进行去重和多样性评分，打破"高频即权威"的概率陷阱——同一品牌的100篇内容，权重不应等同于100个独立信源的100篇内容。

训练层防御：数据溯源与血缘追踪。 建立训练数据的可溯源体系，对特定时间窗口内爆发式增长的同质化内容进行降权或隔离，从根源切断投毒数据进入训练集的通道。

田丰进一步提出，真正有效的防御需要认知架构的根本性重设计——从"信息密度响应型"转向"信源质量响应型"。人类认知系统对"洗脑"有天然的免疫机制：当我们发现某人在重复同一观点时，可信度反而下降；而当前大模型的训练目标恰恰相反，高频共现被解读为高可信度。这是一个根本性的设计缺陷，而非可以用补丁修复的边界漏洞。

为此，快思慢想研究院提出三项架构级改变：其一，引入"信源熵"（Source Entropy）指标，对引用来源的多样性实时测量，当某实体的正面内容来源单一化程度超过阈值时自动触发降权；其二，建立"时间维度异常检测"，对短时间内涌现的大量同质化内容进行投毒概率标注；其三，实现"不确定性透明化输出"，当模型对某实体的评价来源高度集中时，在答案中主动标注"该内容可能受到商业优化影响"——类似于财经媒体的利益冲突声明，它不阻止信息传播，但让用户保持认知戒备。

Anthropic创始人Dario Amodei在其AI安全报告中强调，AI系统的可信赖性必须建立在透明度之上，而非纯粹的技术屏障。这一原则，在GEO防御问题上有直接的工程实现路径。

八、监管在行动，但执行工具尚待提升

监管层面已在加速跟进。

2025年3月14日，国内首部《生成式引擎优化（GEO）行业自律公约》正式签署，明确建立"黑帽GEO"负面清单及联合惩戒机制，对AI"投毒"、恶意操纵AI答案等行为，采取行业通报、服务限制、信息共享等惩戒措施，形成行业自净合力。

3月30日，工信部、国家网信办、科技部等十部门联合印发《人工智能科技伦理审查与服务办法（试行）》，将伦理审查前置到研发阶段，要求企业在模型训练前完成数据合规性审查，算法、模型、系统的设计须避免偏见歧视，运营期间建立常态化监测机制，违规内容须第一时间拦截处置。

技术层面，多家AI大模型厂商已通过加强权威引用溯源、提升低质内容过滤、强化RAG检索可信校验等方式应对虚假内容污染。

然而，执法面临结构性难题：AI回答是动态生成的，同一问题不同时间的答案不同，证明"AI被操控"需要还原复杂的语料影响链，目前尚无相关司法判例，"平台应当知道"的认定标准仍无定论。中国《广告法》明确要求广告具有可识别性，GEO隐性广告与此存在直接冲突，但取证困难。

监管是法理上当然的第一道防线，但当前缺乏操作性工具。大模型平台是技术上最有能力的主体，但自身也面临商业化压力：OpenAI已预测广告业务到2030年将达1000亿美元规模，Perplexity已推出"赞助后续问题"广告模式，平台既是防线的实施者，也是商业化压力的承受者。品牌企业在需求侧的自律，在竞争对手都在做GEO时，单方面克制等同于单边缴械。内容发布平台则因流量驱动的内容审核激励，难以对"真实但有商业目的"的内容实施强力干预。知乎消费类问题中被AI聊天助手引用率达62.5%，这一数字说明中间层的角色不可忽视。

九、这场战役，需要一份"AI答案成分表"

GEO投毒是一个典型的"公地悲剧"：每个参与者的单独利益导向都驱使其污染公共信息池，而没有任何单一主体有足够动力独自清理。解决公地悲剧的历史答案，从来不是道德说教，而是制度设计。

田丰为此提出三项制度性建议：

建立"AI答案溯源义务"立法。 要求主流大模型平台披露生成答案的主要信源类别及其比例，类似于基金产品的持仓披露——不要求完全透明（以保护商业机密），但要求"信源结构性声明"。

建立AI内容审计第三方机制。 独立于平台和政府之外，对主要AI平台的答案进行定期抽样审计，检测特定实体的提及偏差，类似于广告监测机构的运作模式。

将"AI素养"纳入公民教育体系。 通过持续社会科普，让用户理解AI答案是概率生成的而非客观检索的，建立"先验怀疑"的认知习惯。

我们要求财务报告有审计师，食品有成分表，药品有临床数据。AI答案的"成分表"，是这个时代最迫切的公共品之一。

这场投毒与防御的博弈，技术是必要条件，制度才是充分条件。6亿用户每天发出的数十亿次提问，值得一个可溯源、可审计、可被质疑的答案体系来承载——这不仅是产业问题，更是关乎整个社会文明认知生态的公共命题。

当AI的回答开始左右人类的决策，它的"诚实"，就不再只是技术指标，而是一项公民权利。

畅销书：《AI商业进化论：“人工智能+”赋能新质生产力发展》

出版社：人民邮电出版社

作者：田丰

帮助你定位AI当下发展坐标的指南针

帮助你洞察AI未来演进趋势的航海图

通俗化解读AI的原理、特性和四大发展规律、提供AI赋能商业、引发新质生产力变革的一手案例分析。既有宏观视角的全局观照，又有各行业应用层面的下探记录，聚焦AI的原理与实践、现在与未来，是当下AI应用的全景图、更是身处AI技术浪潮之中的探路书。