今年的 3·15 晚會(huì)，讓中國(guó)老百姓學(xué)會(huì)了一個(gè)新詞——AI 投毒。它以一種近乎于引發(fā)恐慌的方式，瞬間走進(jìn)了億萬普通人的視野[1]。

3·15 晚會(huì)對(duì)于 AI 投毒現(xiàn)象的報(bào)道相當(dāng)驚悚：記者用一款專門用于 AI 投毒的軟件，自動(dòng)虛構(gòu)了一個(gè)名叫 Apollo-9 的智能健康手環(huán)，并用軟件自動(dòng)生成產(chǎn)品軟文，并在多個(gè)平臺(tái)發(fā)布文章。

僅僅 2 個(gè)小時(shí)后，這款完全虛構(gòu)的產(chǎn)品就在問答中被 AI 盛贊，而 AI 的參考資料，正是 AI 投毒軟件自動(dòng)生成的虛假產(chǎn)品軟文。

更令人不安的是，在醫(yī)療領(lǐng)域，大量無資質(zhì)的藥物、保健品和三無醫(yī)美產(chǎn)品，都在利用這種方法獲得 AI 的推薦。一時(shí)間，“AI 被污染”、“AI 答案不可信”的聲音鋪天蓋地，讓很多人驚出一身冷汗。

我們當(dāng)然應(yīng)該感謝 3·15 晚會(huì)揭開了 AI 投毒的亂象，但我想說的是，3·15 的報(bào)道遠(yuǎn)遠(yuǎn)沒有觸及 AI 投毒問題的核心矛盾。

3·15 晚會(huì)只是激起了老百姓“是該管管了”的呼聲，但大多數(shù)人都不知道，這事兒其實(shí)根本管不了。

AI 投毒的原理

從 3·15 晚會(huì)的報(bào)道不難看出，整個(gè) AI 投毒的過程，其實(shí)就是利用軟件自動(dòng)化地生成軟文并且自動(dòng)發(fā)布到網(wǎng)上，全程并沒有 AI 什么事兒。那么 AI 投毒又是如何實(shí)現(xiàn)的呢？

答案是顯而易見的，那些發(fā)布到互聯(lián)網(wǎng)各大平臺(tái)的假文章，是 AI 在回答問題的過程中自己抓取的。

早在 2023 年 11 月，豆包模型就偷偷上線了聯(lián)網(wǎng)檢索功能，只不過這時(shí)候的檢索是暗中進(jìn)行的。當(dāng)用戶的問題依靠大模型的自有知識(shí)無法回答的時(shí)候，豆包就會(huì)偷偷在互聯(lián)網(wǎng)上搜索一下[2]。

2024 年 10 月 31 日，ChatGPT 正式推出了聯(lián)網(wǎng)搜索功能，僅對(duì)付費(fèi)用戶開放[3]。而 2024 年底 DeepSeek 搜索功能的問世[4]，讓上網(wǎng)搜索成了所有 AI 都必須具備的基本功能。同時(shí)，也開啟了 AI 投毒這門生意。

聯(lián)網(wǎng)搜索之所以受歡迎，是因?yàn)?AI 大模型的訓(xùn)練數(shù)據(jù)會(huì)有一定的滯后性，最近的新聞，最新的熱點(diǎn)，AI 沒法跟你討論。有了搜索之后，AI 可以現(xiàn)學(xué)現(xiàn)賣，服務(wù)能力就大幅增強(qiáng)。

不過，AI 聯(lián)網(wǎng)抓信息的過程是極為簡(jiǎn)單粗暴的。

當(dāng)你問出問題之后，AI 軟件會(huì)把問題拆解成多種關(guān)鍵詞的組合，然后去搜索引擎里去搜取一堆網(wǎng)頁(yè)片段。注意，這輪搜索只抓片段，不會(huì)整頁(yè)下載，更不會(huì)去把整個(gè)網(wǎng)站認(rèn)真看一遍。

最重要的是，這個(gè)活兒根本不是 AI 干的，而是為 AI 服務(wù)的代理程序完成的。程序會(huì)把一大堆資料截短、去重、拼接、壓縮后，放進(jìn)你和 AI 聊天的上下文里。而 AI 是通過上下文信息來理解你的問題的。

換句話說，從頭至尾，AI 都沒有去直接訪問互聯(lián)網(wǎng)，它們只是看過軟件強(qiáng)行塞進(jìn)上下文里的那些資料而已。

看起來 AI 信誓旦旦地向你推薦商品，說商品如何如何可靠，其實(shí) AI 全程都沒做任何的學(xué)習(xí)和思考，它只是在總結(jié)整理上下文中的資料，然后輸出給你看。

等你下次再問 AI 這個(gè)問題的時(shí)候，整個(gè)流程還會(huì)重新運(yùn)行一遍。

所以，所謂的 AI 投毒，確實(shí)跟 AI 沒有半毛錢的關(guān)系，被投毒的一直都是互聯(lián)網(wǎng)，從來不是 AI。

基于互聯(lián)網(wǎng)的投毒式優(yōu)化從來都一直存在，只不過，當(dāng)投毒的內(nèi)容不是網(wǎng)頁(yè)，而是經(jīng)過 AI 的小嘴說出來的時(shí)候，就顯得特別像真的罷了。AI 投毒無法污染 AI 本身，它污染的只是你的認(rèn)知而已。

這里要強(qiáng)調(diào)的是，有一種與 AI 投毒類似，但結(jié)果迥異的概念，叫做“AI 訓(xùn)練數(shù)據(jù)投毒”。訓(xùn)練數(shù)據(jù)投毒，是在 AI 訓(xùn)練階段，往訓(xùn)練數(shù)據(jù)里摻雜虛假信息[5]。會(huì)永久改變 AI 的知識(shí)權(quán)重，讓 AI 從根本上被“徹底洗腦”[6]。而我們現(xiàn)在說的 AI 投毒，本質(zhì)上只是檢索結(jié)果污染而已。

想給 AI 投毒并不容易

雖然 3·15 晚會(huì)上演示的 AI 投毒相當(dāng)簡(jiǎn)單，但也不是你想怎么投毒都能如愿的。

3·15 晚會(huì)上演示了利用 AI 投毒來捏造一種不存在商品的能力，讓 AI 投毒看起來非?？膳?。也許你以為，憑空捏造出一種全新的產(chǎn)品，是世界上最難的事情，但事實(shí)上，這恰恰是最容易的一件事。

我給你舉個(gè)例子，你在網(wǎng)上搜索蘋果手機(jī)，你會(huì)搜索到無數(shù)多條信息。但是，如果你搜索“香蕉奶油百香果牌的手機(jī)”，你多半會(huì)發(fā)現(xiàn)一條信息都沒有。

想要憑空創(chuàng)造一個(gè)新品牌，只要在網(wǎng)上發(fā)布幾篇文章，然后等著搜索引擎收錄就行了。當(dāng)你詢問 AI 這個(gè)品牌的時(shí)候，無論 AI 怎么搜索，都只能搜到你剛剛發(fā)布的文章，當(dāng)然 AI 就只能參考你的文章。AI 投毒也就順利完成了。

但是，如果你想污染一個(gè)類似蘋果手機(jī)這樣的高知名度產(chǎn)品，那么即便你瘋狂發(fā)布 10000 篇文章，也會(huì)被現(xiàn)有的信息淹沒。

當(dāng) AI 從互聯(lián)網(wǎng)上抓取信息的時(shí)候，也許你的投毒信息也會(huì)被一并抓取，但你的信息往往權(quán)重較低。AI 在綜合參考所有資料后，會(huì)發(fā)現(xiàn)你的資料與其他資料內(nèi)容矛盾，然后過濾掉你提供的有毒信息。

于是，你雖然瘋狂發(fā)布了 10000 條有毒信息，你的 AI 投毒計(jì)劃還是會(huì)失敗。

更多的時(shí)候，如果你在假信息中提供了違背公共知識(shí)體系的信息時(shí)，AI 會(huì)在整理信息時(shí)發(fā)現(xiàn)這些問題，并且把這些信息排除在外。

所以，3·15 晚會(huì)也被騙了。AI 投毒并沒有想象的那么簡(jiǎn)單。

3·15 晚會(huì)的邏輯是：商家花錢 → 黑產(chǎn)投毒 → AI 變傻 → 消費(fèi)者被騙。

但真實(shí)的情況是，黑產(chǎn)用最簡(jiǎn)單的創(chuàng)建新產(chǎn)品誤導(dǎo) AI 的例子去欺騙商家花錢，而商家花錢之后，就算有心做壞事，大概率也是做不到欺騙大眾的效果的。

真相更可怕

如果 3·15 說的不對(duì)，那么 AI 投毒還是個(gè)值得擔(dān)心的問題嗎？

答案是，3·15 晚會(huì)確實(shí)沒有挖出真相，不過，真相比 3·15 晚會(huì)的報(bào)道更加可怕。

順著我們剛剛的邏輯推演，可以得出一個(gè)關(guān)鍵結(jié)論，那就是 AI 投毒現(xiàn)象并不會(huì)無差別的發(fā)生。只有商業(yè)信息領(lǐng)域，才容易被黑產(chǎn)滲透。而科學(xué)領(lǐng)域、各種常識(shí)甚至各種小眾領(lǐng)域，都不是 AI 投毒的主要目標(biāo)。

這背后的核心邏輯，就是 AI 的知識(shí)權(quán)重差異。AI 的核心知識(shí)權(quán)重，源于海量經(jīng)過篩選的訓(xùn)練數(shù)據(jù)。這些訓(xùn)練數(shù)據(jù)，涵蓋了數(shù)學(xué)、物理、化學(xué)、生物、歷史等各個(gè)領(lǐng)域。對(duì)于這些領(lǐng)域的內(nèi)容，有明確的標(biāo)準(zhǔn)答案、有穩(wěn)定的共識(shí)。AI 在訓(xùn)練過程中，會(huì)形成堅(jiān)定的認(rèn)知，不會(huì)輕易被虛假信息誤導(dǎo)。

比如數(shù)學(xué)領(lǐng)域，“1+1=2”這種數(shù)學(xué)鐵律，再多虛假軟文也無法改變這個(gè)結(jié)論。再比如歷史領(lǐng)域，“鴉片戰(zhàn)爭(zhēng)爆發(fā)于 1840 年”是個(gè)明確的歷史事實(shí)。AI 不會(huì)因?yàn)閹灼浳?，就把鴉片戰(zhàn)爭(zhēng)爆發(fā)時(shí)間改成其他年份。

確定事實(shí)的內(nèi)容不會(huì)輕易被更改

但商業(yè)信息領(lǐng)域，完全是另一種景象。這里沒有標(biāo)準(zhǔn)答案，沒有穩(wěn)定的知識(shí)體系，也沒有統(tǒng)一的判斷標(biāo)準(zhǔn)。

到底是“哪款臺(tái)燈更護(hù)眼”，“哪款跑步機(jī)不傷膝蓋”，“那款口紅更顯白”，商家必須說自己最好，而不同的人會(huì)有不同的答案，AI 沒有內(nèi)置的真理，只能依靠檢索到的外部信息進(jìn)行歸納。

而商業(yè)信息的本質(zhì)，本身就是“王婆賣瓜自賣自夸”，充滿了各種利益驅(qū)動(dòng)。品牌方為了銷量，會(huì)夸大產(chǎn)品功效、偽造用戶口碑。競(jìng)品為了打壓對(duì)手，會(huì)投放負(fù)面軟文、編造虛假黑料。

整個(gè)商業(yè)信息環(huán)境本身，就是一個(gè)“大毒窟”，這個(gè)領(lǐng)域根本不用投毒，每個(gè)品牌的自我介紹，都或多或少具有虛假和夸大的成分。

這就是我說，真相比 3·15 的曝光更可怕的原因。因?yàn)椴挥猛抖?，這本身就是一個(gè)充滿了毒的信息領(lǐng)域。

AI 只是把這片“毒?！保瑤湍銤饪s成了一碗又鮮美、又順滑、還讓你感覺很權(quán)威的雞湯而已。

商業(yè)信息中的毒性，從來都不是 AI 帶來的。早在 AI 出現(xiàn)之前，互聯(lián)網(wǎng)上就充斥著軟文、水軍、虛假測(cè)評(píng)。只是那時(shí)候，我們需要自己翻頁(yè)、篩選、判斷。

而現(xiàn)在，AI 幫我們做了篩選和整理，把這些“毒信息”直接送到我們面前。我們就覺得，是 AI 被投毒了。我們忽略了一個(gè)重要事實(shí)：商業(yè)信息本身，從來就沒有干凈過。

AI 投毒的本質(zhì)，是權(quán)威崇拜

聊到這里，我們終于可以揭開 AI 投毒的核心真相了：AI 投毒從來不是 AI 的錯(cuò)，也不是黑產(chǎn)有多高明，本質(zhì)上，是我們自己的“權(quán)威崇拜”心理在作祟。

我們總下意識(shí)地認(rèn)為，AI 是全知全能、客觀中立，是能給我們標(biāo)準(zhǔn)答案的權(quán)威，這種認(rèn)知錯(cuò)位，才讓本來就有毒的商業(yè)信息有了可乘之機(jī)。

在 AI 出現(xiàn)之前，我們面對(duì)互聯(lián)網(wǎng)上的軟文、水軍，會(huì)下意識(shí)地保持警惕，會(huì)翻頁(yè)、對(duì)比、篩選，不會(huì)輕易相信單一信息。

但 AI 出現(xiàn)后，我們變得懶惰，把判斷的權(quán)力完全交給了 AI。AI 說這款產(chǎn)品好，我們就信。AI 說這個(gè)方法有效，我們就照做。我們跳過了所有的思考和驗(yàn)證環(huán)節(jié)，本質(zhì)上就是放棄了自己的獨(dú)立判斷，把 AI 當(dāng)成了不可質(zhì)疑的權(quán)威。

信公知，信專家，信大 V，信明星，信電視廣告，信購(gòu)物節(jié)目，信貼在小區(qū)門口的紅紙黑字的“通知”，所有這些都是在崇拜權(quán)威。

權(quán)威崇拜，正是 AI 投毒能夠奏效的根本原因。商業(yè)信息本身就充滿了夸大和虛假，AI 只是把這些信息整理得更順滑、更像“權(quán)威結(jié)論”，是我們的盲目信任，讓這些毒信息順利進(jìn)入我們的認(rèn)知，最終被誤導(dǎo)、被收割。

我們抱怨 AI 不可信，但更應(yīng)該反思的是：在 AI 面前，我們能否放棄獨(dú)立思考？

萬能解毒大法

那么，怎么破解 AI 投毒呢？AI 說了那么多話，哪句能聽，哪句不能聽呢？

很多人會(huì)說，破解 AI 投毒，要查信源、要交叉比對(duì)、要獨(dú)立思考，但這些方法對(duì)普通人來說，要么門檻太高，要么根本不實(shí)用。

商業(yè)信息，你查信源，查的也是商家的信源。交叉比對(duì)，全網(wǎng)都是同質(zhì)化的軟文，你怎么比對(duì)？獨(dú)立思考，那就更難了，普通人缺乏專業(yè)知識(shí)，根本分不清商業(yè)話術(shù)和科學(xué)真相。

今天我給你一個(gè)最實(shí)用、零門檻的 AI 解毒大法，那就是：讓 AI 自我博弈，逼它自己戳破自己的謊言。

當(dāng) AI 給你推薦產(chǎn)品、給出消費(fèi)或健康類答案時(shí)，不要直接相信，立刻追問：“別給我結(jié)論，給我這款產(chǎn)品好的底層科學(xué)原理，不要營(yíng)銷話術(shù)?！?/p>

一般來說，如果商品有假，只要這一句話，就能讓 AI 幡然悔悟，跪著向你表達(dá)歉意。

如果 AI 給出了具體原理，同時(shí)仍然高度贊揚(yáng)這款商品，那么基本可以判斷，這件商品有可信的基礎(chǔ)。不過你可不要這么簡(jiǎn)單就放過它，你還要讓它自己博弈一番。

你可以說：“請(qǐng)你從科學(xué)角度，分析這款產(chǎn)品的坑在哪里、有哪些地方可以夸大或者虛假宣傳？性價(jià)比如何？有沒有智商稅的成分？”

這時(shí)候，AI 就會(huì)完全站在你這一邊，它會(huì)幫你分析各種營(yíng)銷話術(shù)，防止你掉進(jìn)坑里。

說到底，能夠破解 AI 投毒的，不是監(jiān)管，也不是 AI 本身，而是你自己。哪怕你直接告訴 AI，你是一個(gè)特別容易輕信，天天被騙的人，讓它幫你把關(guān)，你都不會(huì)在 AI 投毒問題上吃虧。