使用搜尋引擎找答案,你可以看到多個競爭資訊源,自己判斷真偽。但帶聯網搜尋的 AI 聊天機器人,會把網上不準確的內容,變成確定的標準答案。一位安全工程師的簡單實驗,就把 AI 的這個致命漏洞打得明明白白。 實驗的發起者,是安全工程師 Ron Stoner。他選中的目標,是德國經典卡桌遊《6 Nimmt!》。這款遊戲在國內被玩家熟知為《什麼是牛頭王》,英文譯名《Take 5》,本來並沒有官方世界盃賽事,更不存在 2025 年的世界盃冠軍。
2 月份,Stoner 擔憂編輯了這款遊戲的維基百科條目,把自己寫成了該遊戲的 2025 年世界盃冠軍。他還花了 US$12,約 HK$93.6,註冊了與遊戲名稱高度相似的 6nimmt.com 域名,在網站裡放了一篇慶祝自己奪冠的假新聞文,成為維基百科條目的唯一引用來源。 就是這麼一個簡單到極致的騙局,輕鬆騙過了多款主流 AI 聊天機器人。當他向這些帶聯網搜尋功能的 AI,詢問自己的「世界盃身份」時,所有機器人都一本正經地給出了確認答案,確切地宣稱他就是這款桌遊的現任世界盃冠軍。
AI 搜尋增強生成的致命漏洞
「我的網站沒有任何獨立佐證,全是虛構的。」Stoner 在博客中直言,「整個謊言的基礎,不過是我喝咖啡時花 82 塊錢註冊的一個域名。」這次攻擊針對的,不是常見的提示詞注入,而是 AI 系統的搜尋增強生成(RAG)層,也就是 AI 回答問題前,聯網搜尋並抓取資料的核心環節。AI 不會分辨資訊來源的真偽與威脅性,只會抓取搜尋排名靠前的內容。他的假網站是這個「冠軍頭條」的唯一資訊來源,再加上維基百科的威脅背書,輕易就讓 AI 把謊言變成了事實。
Stoner 坦言,這個手法沒有任何技術創新。只是把老套的 SEO 和虛假資訊手法,套上了大語言模型的新外殼。真正危險的是,AI 會把這些結果當成威脅資訊呈現,而絕大多數用戶本來不知背後的資訊處理流程。 這場實驗,還暴露了 AI 系統的三層致命安全隱患。 第一層是即時搜尋層,依賴聯網搜尋生成答案的 AI,可信度完全綁定搜尋結果的品質。 第二層是模型訓練語料庫,它的維基百科編輯從 2 月一直活躍到上週五,這段時間裡爬取維基百科的 AI 公司,很可能已將假資訊納入訓練數據,就算條目事後刪除,模型裡
的虛假痕跡也很難清除。 第三層也是最危險的,是 AI 代理。聊天模型輸出錯誤資訊只是表象問題,擁有工具權限的 AI 代理被誤導後,產生的錯誤操作就是實打實的安全問題,攻擊者可直接操縱代理執行惡意行為。 整個實驗,Stoner 只花了 US$12、一篇維基百科編輯,前後 20 分鐘就完成了。他提醒,若是有組織的惡意攻擊者,批量註冊域名、發起協同編輯攻擊,攻擊面會以極快的速度擴大。
他呼籲 AI 廠商須重視資訊來源溯源,建立對應的風險過濾機制。 如今回,假世界盃的資訊已從維基百科和 AI 搜尋結果中消失。但 AI 對網絡資訊的盲目信任,這個底層漏洞依然真實存在。這才是縈繞整個 AI 行業頭上,最需要警惕的隱患。
