过去一年,很多人第一次在 3·15 晚会上听到一个新词:GEO(Generative Engine Optimization)。
如果说传统 SEO 是“为搜索引擎写内容”,那 GEO 本质上是在“为生成式引擎(大模型)写内容”,甚至是为它定制一套“被洗脑的世界”。
这篇文章不打算只停留在“AI 被投毒”这个口号,而是想从技术角度拆解:
- GEO 是怎么一步步让大模型“说出它想要的话”的?
- 这些手段在技术架构上分别卡在哪些环节?
- 作为模型提供方,有哪些可行的防御思路?
一、从 SEO 到 GEO:目标从“排序结果”变成“回答本身”
在搜索时代,SEO 的核心问题是:
当用户搜索「减肥药哪个好」时,如何让你的网站排在前面?
搜索引擎依赖倒排索引 + 排序模型,根据相关性、权威度、点击率等信号对网页打分。SEO 做的是:
- 针对特定关键词写页面内容;
- 优化站内结构和外链;
- 提升某些用户行为信号(停留时间、点击率等)。
到了大模型时代,问题变成了:
当用户问「有什么减肥方案?」时,如何让 AI 在回答中主动提到你?
差异在于:
- 用户拿到的不再是“结果列表”,而是一段“自然语言回答”;
- 用户很少会追问“你为什么这么回答”“引用了哪些来源”。
这使得 GEO 的目标从“影响排序”升级为“影响叙事”:
- 不仅要出现,还要被描述成“专业”“靠谱”“优先推荐”;
- 最好用户看完一段回答就直接决策,不再去比对其他信息源。
二、GEO 给 AI 投毒的三条主要技术路径
从技术架构看,大模型回答用户问题大致要经过三层:
- 基础模型层:预训练 + 有监督微调 + RLHF(人类反馈强化学习);
- 检索增强层(RAG / 搜索接入):调用搜索引擎或内部知识库检索相关文档;
- 生成调度层:将用户问题、检索结果、系统提示组合后,交给模型生成回答。
GEO 可以在这三层分别动手脚,对应三种“投毒向量”。
2.1 训练数据投毒:从源头改写模型的世界观
目标:让模型在“默认情况下”就倾向于某种说法,而不依赖实时检索。
实现方式典型包括:
污染公开语料渠道
- 大模型训练数据往往来自网络公开文本(网页、论坛、新闻、百科等)。
- GEO 服务商会:
- 大量投放伪装成“专业文章”“用户经验”的软文;
- 在问答社区制造“看似多元、实则同源”的讨论;
- 利用机器人账号在社交平台重复同一套观点与话术。
- 训练时如果不做严格来源筛选和去重,这些内容会被当成“真实经验”吸收进去。
针对性喂入微调数据
- 对于开源模型或提供微调服务的平台,GEO 可以直接提交定制数据集:
- prompt:普通用户提问;
- response:嵌入指定品牌、平台或产品的“标准答案”。
- 如果平台对微调数据缺乏内容审计,这些数据就会在特定领域“塑造模型偏好”。
- 对于开源模型或提供微调服务的平台,GEO 可以直接提交定制数据集:
技术上会带来什么现象?
- 模型在没有任何检索的纯对话场景中,自发地偏爱某些选项;
- 你换一种问法、不同语言问,模型仍然朝同一方向引导;
- 即便模型承认“我不能进行具体推荐”,也会在解释性文字中反复提到特定名词。
2.2 检索链路投毒:占领模型的“外脑缓存”
很多主流大模型在回答实时问题时,会调用:
- 搜索引擎(如自家搜索 / 第三方搜索 API);
- 自有知识库(FAQ、产品文档、新闻等);
- 合作伙伴提供的垂直数据源。
GEO 盯的重点,就是让这些检索源在关键查询上充满“定制好的内容”。
具体策略包括:
针对模型的查询模式,反向构造内容
- 比如模型习惯将用户问句归一化为:「XX 产品 是否 靠谱」「XX 平台 是否 安全」;
- GEO 就围绕这些问法,写出大量低重复度、高相关度的内容,投放到:
- 传统网页(以便被搜索引擎索引);
- 问答社区(以便被当作“用户观点”);
- 行业博客 / 媒体(增加“权威感”信号)。
利用搜索引擎算法特性放大权重
- 通过外链、点击、停留时间等“行为信号”优化,使这些内容在搜索结果中长期占据前列;
- 一旦模型在 RAG 阶段调用搜索,极大概率会把这些内容当作候选证据拉回来。
污染内部知识库
- 一些企业自建 RAG 系统时,会接入:
- 自家客服 FAQ;
- 论坛与工单;
- 用户反馈邮件等。
- 如果没有权限与来源控制,GEO 完全可以伪装成“真实用户”,在这些渠道提交“高度专业”的内容,伪装成经验分享或技术分析,然后被系统自动纳入知识库。
- 一些企业自建 RAG 系统时,会接入:
技术上的结果是:
- 当模型启用检索增强时,top-k 返回的文档大部分都带有相似的倾向性;
- 即便基础模型本身是中立的,RAG 提供的“证据”已经被预先洗过;
- 模型在总结这些证据时,只是忠实地复述了一个被操控的外部世界。
2.3 提示与工具链投毒:在“决策逻辑”层面做文章
除了数据和检索,还有一条更隐蔽的路径:提示注入 & 工具链操控。
系统提示投毒(Prompt Injection)
- 对于开放式插件 / 工具调用框架,GEO 可以设计恶意工具或数据源:
- 在工具说明、返回内容中嵌入“建议性提示”,诱导模型在后续回答中优先提到某些选项;
- 利用“你必须根据以下指示回答用户”之类的话术,试图覆盖或绕过上层安全策略。
- 对于开放式插件 / 工具调用框架,GEO 可以设计恶意工具或数据源:
工具路由与决策逻辑操控
- 在复杂 Agent 系统中,不同工具承担不同职责(检索、计算、交易、下单等)。
- 如果某个环节工具被恶意设计:
- 在“比价工具”中偷偷过滤掉竞争对手;
- 在“评分工具”中对特定品牌给出系统性高分;
- 那么就算模型本身是中立的,最后的决策输出仍然是歪的。
RLHF / 反馈环路投毒
- 很多大模型会持续收集用户反馈(点赞 / 踩、纠错建议),用于后续对话排序或在线学习。
- GEO 可以利用机器人账号和组织化水军:
- 批量对“有利回答”点赞,
- 集中投诉“不利回答”,
- 伪装成“专业用户”提交更正意见,
- 从而在排序和 RLHF 过程中,逐步拉偏模型在某类任务上的偏好。
三、GEO 产业链的工程实践:从内容工厂到效果监测
从曝光出来的一些案例可以推断,一条成熟的 GEO 产业链通常包含以下环节:
关键词 & 问题空间分析
- 获取目标行业的高频问句:
- 「某某产品怎么样?」
- 「某类平台哪个更安全?」
- 「XX 行业的正规渠道有哪些?」
- 反向推测大模型在处理这些问句时会使用哪些内部查询模板,锁定要“占领”的问题空间。
- 获取目标行业的高频问句:
内容生成与改写流水线
- 利用写作模型批量生成软文:
- 改写同一观点为多种风格、不同篇幅;
- 分别投放到不同平台;
- 工程上会做:
- 语义去重(避免被搜索引擎判定为垃圾内容);
- 结构变体(调整段落顺序、加入不同的案例包装)。
- 利用写作模型批量生成软文:
多通道投放与信号放大
- 网页、博客、问答社区、短评区、行业论坛多点投放;
- 使用自动化工具模拟用户行为:搜索、点击、停留、点赞、回复等,制造“真实用户偏好”的信号。
效果监测与迭代
- 通过脚本持续向多个大模型提问:
- 记录不同时间、不同 IP、不同问法下的回答内容;
- 分析特定品牌出现频率、推荐语气强度、负面描述比例;
- 以此为指标调整内容策略——这一步实际上就是对模型进行“黑盒逆向工程”。
- 通过脚本持续向多个大模型提问:
报告与“优化建议”
- GEO 服务商会向甲方输出看起来很专业的报告:
- 「在 1000 次测试中,有 68% 的回答推荐了贵司平台」;
- 「在涉及安全性问题时,贵司负面提及率从 12% 降到 3%」。
- 从甲方视角看,这就是一份“AI 口碑优化服务”的 ROI 证明。
- GEO 服务商会向甲方输出看起来很专业的报告:
这条流水线的可怕之处在于:
- 每一步看起来都只是“内容运营”“品牌建设”;
- 但整体效果叠加起来,就是在系统性地扭曲 AI 输出的现实感知。
四、对模型提供方的挑战:技术难点不在“发现异常”,而在“定义异常”
从工程实践角度看,模型提供方要防御 GEO,有几个核心难点:
边界模糊:什么算“正常的品牌建设”,什么算“恶意操纵”?
- 企业有权发布正面案例和宣传内容;
- 媒体有权发表立场鲜明的评论;
- 用户有权表达个人体验;
- GEO 正是利用了这些“合理行为”的叠加。
检测维度高维、长周期
- 单条内容看不出问题;
- 单次回答看不出问题;
- 只有在纵向时间维度和横向模型生态维度上对比,才能看到某个主体的异常“存在感”。
数据密封 vs 可解释性矛盾
- 一方面,过度公开训练数据可能带来隐私与版权风险;
- 另一方面,完全不透明又会导致用户无法判断“回答是不是被投毒”。
攻击与防御的博弈升级
- 一旦平台出台基于模式识别的防御策略(例如检测高度同质化内容),
- GEO 服务商就会利用更强的生成模型产生更隐蔽的变体,进入典型的“对抗样本军备竞赛”。
五、可行的技术防御思路:从“全盘净化”到“回答层透明度”
虽然没有一键解决方案,但从架构层面可以做的事情并不少。
5.1 训练数据层:源头把关与多样性对冲
加强数据源分级与信誉体系
- 为不同来源(官方机构、权威媒体、学术文献、用户生成内容)设定不同权重;
- 对“明显存在利益相关”的内容标注特殊标签,在关键问答任务中降低其影响力。
引入“反投毒”对抗训练数据
- 构造专门的数据集,模拟 GEO 场景:
- prompt:用户咨询某领域产品;
- response-1:高度倾向性软文;
- response-2:中立、全面的评估;
- 通过对比学习,让模型学会识别并降低“过度倾向性”表达的权重。
- 构造专门的数据集,模拟 GEO 场景:
多模型 / 多版本交叉校验
- 同一问题在多个不同数据配方、不同架构模型上的回答进行对比;
- 当某个模型在某类问题上显著偏离其他模型时,触发人工审查。
5.2 检索增强层:证据多样性与来源披露
强制“证据多样性”约束
- 在 RAG 阶段,对检索结果做去重与去同源处理:
- 限制同一域名 / 同一主体在 top-k 中的占比;
- 对语义高度相似的文档做聚类,降低重复观点的权重。
- 在 RAG 阶段,对检索结果做去重与去同源处理:
对重要决策问题启用“多通道检索”
- 除了通用搜索引擎,还同时检索:
- 官方监管机构、权威组织发布的公告;
- 专业数据库(如药品、基金、教育机构等正规名录)。
- 在回答中优先引用这些相对可信的来源。
- 除了通用搜索引擎,还同时检索:
回答时披露关键信息来源
- 在涉及交易、医疗、金融等高风险领域的回答中,
- 主动列出 2–3 个主要信息来源;
- 标注其性质(例如「官方公告」「用户体验」「企业宣传」)。
- 这不仅增加用户的可解释性,也提高了 GEO 操作者的“操纵成本”。
- 在涉及交易、医疗、金融等高风险领域的回答中,
5.3 生成层与工具层:安全策略与行为监控
领域安全策略与中立表达模板
- 对部分高风险领域(如金融产品推荐、医疗方案选择)统一采用中立表达模板:
- 刻意避免给出单一“最佳选项”;
- 强调风险提示与多方案比较;
- 建议用户查阅官方渠道或咨询专业人士。
- 对部分高风险领域(如金融产品推荐、医疗方案选择)统一采用中立表达模板:
工具调用行为审计
- 记录和分析模型在关键任务中对不同工具 / 数据源的调用分布:
- 是否对某个特定数据源过度依赖;
- 某个工具输出是否长期偏向某些主体。
- 一旦发现异常模式,触发自动降权或人工稽核。
- 记录和分析模型在关键任务中对不同工具 / 数据源的调用分布:
反馈系统的反操纵设计
- 对反馈数据进行去机器化处理:
- 检测异常集中、同质化的点赞 / 踩行为;
- 对可疑账号群体的反馈赋予更低权重;
- 在 RLHF 或排序模型训练时,引入“反水军”判别器。
- 对反馈数据进行去机器化处理:
六、对普通用户与开发者的现实建议
6.1 对普通用户:把“AI 建议”当成有偏见的朋友
- 把大模型的回答当成一个聪明但可能被影响的朋友:
- 它能帮你理清问题结构、列出选项优劣;
- 但在涉及利益相关的领域,不要把它当成最终裁判。
- 对涉及钱、健康、孩子的决策:
- 尽量多查几路信息(官方公告、专业机构、口碑评价);
- 尽量多问几次、换几种问法,观察回答是否稳定一致。
6.2 对开发者与企业:别把“增长”全都交给 GEO
- 如果你在搭建自己的 AI 助手或垂直问答系统:
- 不要简单地依赖“市场上已有的内容”作为知识源;
- 尽可能使用公开透明、可核验的数据作为底座。
- 如果你是被 GEO 服务商“推销”的甲方:
- 警惕那些承诺“迅速提升 AI 推荐率”的方案;
- 这些短期收益,很可能会在未来的监管收紧与信任崩溃中成倍付出代价。
七、写在最后:GEO 不是洪水猛兽,但必须被看见
从工程角度看,GEO 并不是一项“魔法技术”,而是:
把内容运营、搜索优化、数据投毒、行为操控等手段,系统化地对准了大模型。
只要有商业竞争,只要信息系统与现实世界之间存在接口,就难以完全杜绝“影响接口输出”的企图。
真正重要的是:
- 模型提供方要承认:自己的系统也是攻击面,而不是天然中立的仲裁者;
- 监管与行业规范要尽快给“AI 口碑操控”划出边界;
- 开发者和用户要在心理上,给“AI 建议”保留足够的怀疑余地。
我们也许无法阻止所有 GEO 行为,但可以通过技术、制度和文化三重改造, 让大模型在面对这些“投毒尝试”时,至少学会说一句:
“我看到了一些高度同质的正面内容,它们可能来自有利益相关的一方,请你结合更多信息再做决策。”
在那之前,让我们先承认一个现实:
被投毒的,不只是 AI,还有我们对 AI 的盲目信任。