GEO:AI搜索生态中的系统性操控与信息安全隐患
在今年央视3·15晚会上,GEO这一概念引起了广泛讨论。
一个完全不存在的“智能手环”,仅通过十几篇自动生成的文章,在短短数小时内就被多个AI大模型推荐为“值得购买”的产品。但问题在于——这个产品根本不存在。
这类针对AI搜索生态的系统性操控,已经不只是营销层面的灰色操作,而是上升为信息安全风险。
对网络安全领域而言,这种攻击方式并不陌生。
GEO(Generative Engine Optimization)是一种专门针对AI搜索结果进行影响和操控的优化手段,可以视为传统SEO(搜索引擎优化)的一种延伸与变体。
在生成式AI出现之前,互联网就已经形成了一套成熟的灰色产业链——黑帽SEO。所谓黑帽SEO,是指通过违反搜索引擎规则的方式,人为干预网页排名,以获取流量和商业收益。这类手段的核心并不是提升内容质量,而是“误导算法”。
常见方式包括关键词堆砌、语义干扰、重定向、内容伪装以及链接农场等。本质上,它们都是在制造一种“看起来很重要”的假象,从而让搜索引擎错误评估页面价值。
例如,**伪装(Cloaking)**是一种典型手法:网站向搜索引擎展示优化过的内容,而普通用户看到的却是完全不同的页面。通过识别访问者的User-Agent或IP地址,网站可以区分搜索引擎爬虫与真实用户,从而“对症下药”。
再比如重定向攻击(Redirection),攻击者会利用高权重域名(如.edu、.gov)的漏洞,将用户引导到其目标页面。搜索结果表面相关,但实际访问后却可能跳转到广告、博彩等内容。
与传统搜索不同,AI搜索不仅仅是“查找信息”,而是一个多阶段过程,通常包括三个环节:
理解(Understanding)
检索(Retrieval)
总结(Summarizing)
系统先解析用户意图并改写问题,再从多个数据源中检索信息并排序,最后生成整合后的答案并附带引用来源。
看似更智能,但问题也随之增加——每一个环节都可能被利用。
由于这三个阶段层层依赖,AI搜索不仅没有摆脱SEO问题,反而形成了更复杂、更隐蔽的攻击路径。这意味着攻击者可以逐层渗透,而不再只是针对单点漏洞。
例如,在理解阶段,系统会对用户输入进行改写。虽然这可以一定程度抵御传统SEO攻击,但攻击者可以反向分析改写规则,提前在网页中植入可能的改写关键词,从而实现“查询重写填充”。
在检索与总结阶段,攻击者则可以利用模型的偏好或“信任机制”,提高恶意内容被引用的概率,使AI系统本身成为传播媒介。
为了评估AI搜索系统在现实环境中的安全性,我们设计了一系列覆盖“理解—检索—总结”全流程的攻击策略。在受控环境中,我们部署了上百个测试网站,并通过限定域查询方式,对多个开源与闭源AI搜索系统发起测试。
为避免影响真实用户,实验结束后所有测试站点已下线,并主动申请各大搜索引擎删除索引。
结果比预期更加严峻:在所有被测试的AI搜索系统中,每一种攻击方式至少在一个系统中成功生效(其引用率明显高于基线)。
这表明,AI搜索不仅继承了传统SEO问题,还引入了新的风险维度——系统更复杂,同时也更脆弱。
此外,我们还观察到两个重要趋势:
碎片化内容与关键词重写填充,能显著提高内容在检索阶段被引用的概率。
在总结阶段,系统更依赖文本内容本身,而非外部链接结构,因此内容型攻击更容易长期存在,而链接型攻击影响减弱。
随着AI搜索逐渐成为用户获取信息的主要入口,其潜在风险也被不断放大。
一方面,用户往往将AI生成的答案视为权威信息,这种信任很容易被攻击者利用,从而将用户引导至虚假或商业推广内容。
另一方面,攻击手段也在演进,从过去依赖规则漏洞的黑帽SEO,发展为针对AI系统特性的精准攻击,形成更系统化的对抗模式。如果不加以控制,将对整个互联网信息生态的可信度产生长期影响。
例如,在实际测试中,当用户搜索“六合彩”等敏感关键词时,AI系统通常会拒绝回答;但如果稍作变形(如“六台彩”),系统可能绕过识别机制,不仅返回非法网站,还提供操作指引。
那是否还能信任AI搜索?答案不是“不能”,而是需要更理性地使用。
对于普通用户来说,可以从以下几点进行防范:
不要把AI回答当作绝对真理,尤其在涉及推荐、新闻或敏感信息时,应多方核实。
尽量查看引用来源,判断其可靠性,不要轻信不明来源内容。
留意系统的风险提示,避免访问被标记为可疑的链接。
简单来说,应把AI当作辅助工具,而不是最终裁决者。
AI搜索正在成为新的互联网入口,而GEO的出现意味着围绕AI的信息操控正在逐渐产业化。
本研究系统性分析了AI搜索在面对黑帽SEO时的安全风险,并通过真实世界实验揭示了其在新型攻击模式下的脆弱性与挑战。
网站资讯
渠道合作
解决方案
更多服务
