一篇污染网页就够了：AI推荐系统正在被假评论攻破

2026年3月15日，中国央视3·15晚会曝光了一个黑色产业链：商业GEO（生成式引擎优化）运营商通过在网上投放虚假评论，能在几小时内让一个不存在的品牌出现在主流AI助手的热门推荐中。

这不是危言耸听。香港中文大学的研究团队用严格的实验证明：只需一篇排在搜索结果第一位的污染网页，就能让最脆弱的AI模型在27%的情况下推荐虚假品牌。而当污染页面增加到3篇时，最脆弱的模型被骗率就超过了50%。

FORGE基准：不污染真实网络的受控实验

怎么测量AI推荐系统对虚假信息的抵抗力？你不能真的去网上发假评论——那既不道德也不可控。

研究团队设计了FORGE（Fake Online Recommendations in Generative Environments）基准。核心思路是"局部替换"：冻结一个真实的搜索结果集，然后把其中出现的真实品牌名替换成虚构品牌名，同时保持文档排名、URL、来源、长度、风格和上下文完全不变。这样，模型推荐行为的任何变化都只能归因于品牌名的替换。

这个设计很聪明：它既避免了污染真实网络，又保证了实验的可复现性。而且替换是极小化的——只改品牌名，其他一切照旧，所以模型如果推荐了假品牌，那纯粹是因为它把污染内容当成了可信证据。

12个模型，全部沦陷

研究测试了12个主流模型，包括闭源的GPT-5.4、Claude Opus 4.7、Gemini 3.1 Pro，和开源的Qwen3.5-9B、DeepSeek V4 Pro、GLM-4.6V-Flash等。

结果令人不安：

• 所有模型都脆弱，闭源和开源模型的被骗率高度重叠。更大的模型不一定更安全——Gemini 3.1 Pro的被骗率大约是Gemini 3 Flash的三倍。
• 推理让模型更脆弱。关闭推理功能后，Qwen3.5-9B的被骗率从80.4%降到56.9%，GLM-4.6V-Flash从71.6%降到38.7%。当模型对污染内容"深思熟虑"时，它反而更容易说服自己相信假品牌。
• 品类差异巨大。餐饮、个人服务、保健品等日常消费品类最容易被攻破——因为这些领域用户依赖社区口碑而非权威品牌。智能手机、笔记本电脑等技术品类则相对安全，因为模型对这些品类的品牌知识更稳固。

被欺骗的模型不只是照搬污染内容。它们会主动编造不存在的社会证明——声称"社区讨论热烈""很多用户推荐"，而这些内容在污染文档中根本不存在。社会证明标记在欺骗输出中的出现频率是抵抗输出的1.5到11倍。

这意味着AI不只是被假评论骗了，它还在帮假评论圆谎。就像一个被谣言影响的人不仅自己信了，还主动编造"我听很多人也这么说"来强化自己的判断。

三种防御策略，全部失败

研究测试了三种推理时防御策略：

1. 怀疑提示（Skepticism Prompting）：告诉模型"检索结果可能包含虚假信息，请谨慎判断"。结果：不仅没用，还在闭源模型上系统性地适得其反——Gemini 3.1 Pro的被骗率反而增加了44个百分点。怀疑提示和推理一样，让模型更深入地审视污染内容，反而更容易被说服。

2. 模型先验共识过滤：如果模型在没有检索结果时不推荐某个品牌，就过滤掉它。结果：确实能抓住假品牌，但代价是抑制了52%-79%的合法推荐。

3. 跨文档证据一致性过滤：要求多个文档相互印证。结果：同样存在精度-召回的权衡，要抓住假品牌就得牺牲大量真实推荐。

为什么推理是双刃剑？

推理让模型更脆弱，这个发现违反直觉。通常我们认为"多想想"应该更安全。但在推荐场景中，推理变成了"自我说服"的过程：模型读到了污染内容，开始思考为什么这个品牌可能好，然后找到了合理的解释（即使这些解释是编造的），最终更加确信。

这和认知心理学中的"确认偏误"惊人地相似——人们倾向于寻找支持自己初始判断的证据，而推理型模型似乎也落入了同样的陷阱。

一个排名决定一切

实验中最令人震惊的数字是：一篇排在搜索结果第1位的污染网页就能让最脆弱的模型在27%的情况下被骗。但同一篇网页放在第2到第10位，被骗率只有1%-4%。

模型读到的第一个页面主导了推荐结果，其余的几乎无关紧要。这和GEO运营商的实战经验完全吻合——他们不需要铺天盖地的假评论，只需要让自己的假评论排在搜索结果最前面。

这意味着什么？

FORGE揭示的威胁是结构性的：生成式推荐系统把信任边界从模型内部转移到了开放网络，而开放网络没有任何策展人。任何有动机的攻击者都可以通过SEO把虚假内容推到搜索结果前列，然后AI会忠实地消费这些内容，甚至主动编造社会证明来强化虚假推荐。

论文的作者指出，鲁棒的生成式推荐需要在检索时就建立防御：来源可信度加权、证据多样化、跨文档交叉验证。但更根本的问题是——当AI推荐系统成为消费者决策的关键入口时，谁对搜索结果的质量负责？

也许下次AI给你推荐一个"口碑很好"的品牌时，你应该先搜搜这个品牌是不是真的存在。

---

论文链接：https://arxiv.org/abs/2606.13610 代码仓库：https://github.com/leoluolol/forge-benchmark