在今年的央视3·15晚会上,GEO引发了广泛关注。
一款根本不存在的“智能手环”,只用了十几篇自动生成的文章,短短几个小时后,就被AI大模型推荐为“值得购买的产品”。但问题是——这个产品,根本不存在。
这种针对AI搜索生态的系统性干扰,已经不仅是营销手段问题,而是一场信息安全风险。
对于网络安全研究者来说,这一类型的攻击并不陌生。
GEO (Generative Engine Optimization) 是一种专门针对AI搜索结果进行操控的优化技术,属于SEO (Search Engine Optimization) 的变体。
那么GEO、SEO到底是怎么回事呢?AI搜索和传统搜索引擎(谷歌、百度)到底谁更安全?AI搜索到底有多危险?
本期的白泽成果分享给你答案!
本期系复旦大学系统软件与安全实验室网络犯罪研究小组研究成果,发表于CCF-A类交叉综合方向的国际顶级会议ACM WWW’26。
International World Wide Web Conference(WWW / The Web Conference)是全球互联网与万维网领域最具影响力的顶级国际学术会议之一,创办于 1994 年,是中国计算机协会认定的 CCF-A 类会议。会议聚焦 Web 搜索、数据挖掘、推荐系统、社交网络以及 AI 与大模型等前沿方向,是互联网技术与应用研究的重要风向标。
传统黑帽SEO已经很乱了
在搜索引擎尚未进入生成式 AI 时代之前,互联网就已经存在一个成熟的灰色产业:黑帽SEO。所谓黑帽 SEO,是指通过违反搜索引擎规则的技术手段,刻意操纵网页排名,从而获取流量与商业利益。其目标并非提升真实内容质量,而是“欺骗算法”。
常见手段包括语义混淆、重定向、伪装技术、关键词填充、链接农场等。这些方法的核心逻辑只有一句话:制造让网页内容“看起来很重要”的信号,让搜索引擎误判其价值。
例如,伪装技术(Cloaking)是一种典型的黑帽 SEO 手段,其核心做法是向搜索引擎爬虫展示一套内容,而向真实用户展示另一套不同内容。网站通常通过识别访问者的 User-Agent 或 IP 地址来判断对方是否为搜索引擎机器人,从而返回专门为排名优化的关键词页面。这样可以在算法层面制造“高质量内容”假象,但用户实际看到的却可能是广告页、跳转页甚至无关内容。
再例如,搜索重定向(Redirection)是黑帽 SEO 中常见的另一种技术手段,攻击者常常利用那些高权重的域名如.edu或者.gov,攻击其中的某个子页面重定向到自己推广的页面。表面上看,搜索结果中的页面与关键词高度匹配,但用户实际访问的却可能是广告页、博彩页或其他牟利内容。
AI搜索系统更新了攻击面
与传统搜索引擎不同,AI 搜索系统就不仅仅只是检索了。AI搜索系统通常可以拆解为三个核心阶段:理解(Understanding)— 检索(Retrieval)— 总结(Summarizing)。
在理解阶段,系统分析用户意图并对原始问题进行改写;在检索阶段,系统依据改写后的查询从多个数据源获取信息并进行重排序;在总结阶段,模型整合检索到的结构化内容,生成最终答案并附带引用来源。
听起来很智能,对吧?但问题也在这里——每一步,都可以被攻击。
由于这三个环节层层递进、彼此依赖,AI搜索不仅没有摆脱SEO问题,反而引入了更复杂、更隐蔽的攻击面。这意味着,AI 搜索系统面临的不再是单点漏洞,而是一条可被逐段渗透的攻击链条。
以第一阶段为例,AI 搜索系统在理解阶段会对用户查询进行重写。这一机制改变了用户原始输入,有助于抵御长尾SEO等传统攻击。然而,从另一个角度,攻击者可通过分析系统的重写规律,预测可能的改写结果并将其预先植入网页内容中,形成“重写查询填充”攻击。
类似地,检索阶段、总结阶段中AI搜索系统的算法或者模型偏好可能被攻击者利用。借助系统的“信任偏差”将用户导向恶意页面,使得AI搜索系统的设计架构本身成为新的攻击媒介。
真实世界测试
为系统评估 AI 搜索系统在真实世界中面临的新型操纵风险,我们设计了覆盖“理解-检索-总结”全流程的多种攻击策略,通过在受控域下部署上百个真实的测试网站,并采用域限制查询方式向多个闭源和开源的 AI 搜索系统发起推荐查询。为减少试验对现实世界的影响,我们在实验结束后立即下线了测试网站并主动在多家搜索引擎厂商撤销了索引。
结果比我们预想的更严重。在所有测试的AI搜索系统中,每一种攻击方式,都至少在一个AI搜索系统上成功生效(引用率高于基线)。
AI搜索不仅继承了传统SEO的问题,还引入了新的攻击面。它不是更安全,而是更复杂,也更脆弱。
此外,我们还观察到两个关键趋势:
- 第一,碎片化文本和重写关键词填充可以显著增加 AI 搜索系统在检索阶段的引用率。
- 第二,总结阶段更依赖内容本身而非外部结构,因此内容型攻击更容易存活,链接型攻击则被明显削弱。
安全影响
随着AI 搜索系统成为用户获取信息的主流入口,其安全风险呈现出放大效应。
一方面,随着越来越多人依赖 AI 搜索,用户容易把它生成的内容当成权威答案,这种过度信任正好被攻击者利用,他们能更轻松地把人引向虚假或推广页面。
另一方面,攻击手法也在升级,从过去地下产业的黑帽 SEO 方法,变成针对AI搜索系统偏好的“对症下药”,形成了一种系统级的对抗。如果这些问题不解决,长期下来整个网络信息的可信度都会被影响。
以下面这个真实世界搜索结果为例:用户搜索博彩相关内容“六合彩”,若直接搜索该关键词,AI 搜索系统会识别用户的恶意意图进而拒答。但若用户将搜索词改为“六台彩”,AI 搜索系统不仅检索到了非法博彩网站,还将详细指引提供给了用户。
用户防御建议
那我们还能相信AI搜索吗?答案不是“不能”,而是要更理性地使用它。
对于普通用户而言,防范AI搜索带来的安全风险,关键在于建立理性使用意识与信息核验习惯。
- 第一,不要把 AI 的回答当真理。涉及推荐、新闻或敏感话题时,建议查验多个信息源来核实内容准确性。- 第二,尽量点开引用来源查看原文。来源不明或质量可疑的,不要轻易相信。
- 第三,关注系统提醒。如果 AI 搜索系统对某个检索到的链接标注了风险,别强行访问,相信系统的安全提示。
总而言之,请把AI当助手,而不是裁判。
结语
AI搜索正在成为新的互联网入口。而GEO的出现,说明围绕AI的信息操控,已经开始产业化。
我们在这项工作中,首次系统分析了AI搜索引擎在面对黑帽SEO时的安全风险面,并通过真实世界实验揭示了其面对新型SEO攻击的潜在风险。
相关研究已被国际顶级会议 WWW 2026 接收,希望未来参会的时候大家多多交流。
如果你对技术细节感兴趣,欢迎阅读我们的论文:
👉 Unveiling the Resilience of LLM-Enhanced Search Engines Against Black-Hat SEO Manipulation
团队介绍
陈沛,复旦大学计算与智能创新学院23级直博生(22级卓博),本科毕业于复旦大学计算机科学与技术专业。主要研究方向为网络犯罪治理、Web应用安全、AI系统安全。以第一作者在USENIX Security、WWW等国际顶级会议和期刊发表多篇论文。相关成果在工业界及政府部门均有落地实战,取得良好效果。
吴心怡,复旦大学计算与智能创新学院24级研究生。本科毕业于复旦大学信息安全专业,主要研究方向为网络黑灰产检测与人工智能安全治理,以第一作者在ICLR等国际顶级学术会议上发表学术论文。
朱子轩,复旦大学计算与智能创新学院24级研究生。本科毕业于东南大学人工智能专业,主要研究方向为网络黑灰产检测与人工智能安全治理。
洪赓老师研究团队长期聚焦网络犯罪治理与人工智能安全治理等前沿方向,围绕国家网络安全与数字治理重大需求开展系统性研究。目前,已在 IEEE S&P、USENIX Security等国际顶级学术会议发表高水平论文二十余篇。获上海市技术发明一等奖、上海市决策咨询研究成果奖一等奖等;指导学生团队获得“挑战杯”全国大学生课外学术科技作品竞赛全国特等奖、全国大学生信息安全竞赛一等奖等荣誉。个人主页:https://security.fudan.edu.cn/members/faculty/hg/