AI投毒：数字社会如何塑造“算法信任”

算法并非天然中立。AI投毒问题的真正挑战在于治理，而非单纯的技术修补。在算法时代，信任不应建立在对机器的盲目崇拜之上，而应建立在透明、责任与持续反思之上。

“投毒”这一概念通常与人体或自然环境相关。但如今，它正成为人工智能领域中一个日益严重的问题——在像ChatGPT和Claude这样的大型语言模型中，尤为突出。2025年10月，由英国人工智能安全研究院、艾伦·图灵研究所以及开发Claude的Anthropic联合开展的一项研究发现：在数百万条训练数据中，仅需插入大约250个恶意文件，就有可能在不被察觉的情况下对模型进行“投毒”。

什么是AI投毒

AI投毒是指通过对人工智能系统的训练数据、模型或运行环境进行恶意操纵，从而改变其行为或输出结果的一类攻击策略，通常被称为数据投毒攻击。机器学习模型的能力高度依赖训练数据，因此一旦攻击者篡改数据集、注入虚假或偏置样本，或者改变标签与特征分布，就可能导致模型学到错误模式，在实际应用中产生系统性偏差或错误决策。数据层投毒是最常见的形式，例如在人脸识别数据中加入错误标注的照片，或在推荐系统训练数据中注入虚假用户行为，这些可能导致模型产生错误分类、偏见或被触发的隐藏行为。

后门投毒则是在模型的训练或微调阶段，刻意植入“触发器”，使模型在大多数正常输入下表现正常，但在遇到特定触发条件时，输出被预先设定的异常或恶意结果。这在自动驾驶、医疗AI等关键领域尤其危险。后门投毒具有几个显著特征：其一，隐蔽性强，因为模型整体性能不受明显影响，难以通过常规测试发现；其二，触发精确，攻击只在特定条件下发生；其三，成本较低但危害集中，只需少量投毒数据即可植入后门。

反馈投毒主要发生于在线学习或持续优化系统中，这类模型会根据用户点击、评分、对话反馈等信号不断更新自身参数或策略。反馈投毒并不直接篡改训练数据，而是“污染模型的学习信号”。恶意行为者篡改训练过程（特别是基于人类反馈的强化学习）中所使用的人类反馈（偏好数据），通过大量异常反馈（如刻意设计的交互、批量好评/差评、恶意点击或虚假评分等），使系统误判哪些内容是“优质”或“相关”的，从而在后续迭代中调整输出方向。

AI投毒主要可以分为两大类：定向（直接）攻击与非定向（间接）攻击。定向攻击的目标是操控模型在特定输入下的输出行为，而非定向攻击旨在整体性降低模型性能或系统性扭曲其知识结构。后门投毒是典型的定向攻击，而反馈投毒则属于更具弥散性的非定向攻击。

在生成式大模型驱动的生成引擎优化过程中，AI投毒构成了一个潜在且高度隐蔽的风险源。生成引擎依赖于海量训练数据及持续微调，通过搜索空间优化、概率分布调整和解码策略来生成文本、代码或多模态内容。然而，当训练数据或微调数据遭到恶意操控时，模型可能学习到偏误模式或被植入后门，从而在特定输入条件下输出攻击者预设的内容。这些做法能够影响在线优化策略，从而改变生成引擎的输出优先级和搜索排序。

AI投毒在现实环境中不仅容易实施，而且具有可扩展性，被投毒的模型可能输出系统性偏误信息，侵蚀用户对模型结果的信任，同时影响知识生产、舆论传播及决策支持等关键领域，从而形成“算法知识污染”。不同类型的投毒，已经从单纯的技术安全问题，转变为涉及认知可靠性、信息操控与平台治理的关键议题。

算法信任不能建立在对机器的盲目崇拜之上

如果个体长期接受扭曲信息，其判断结构会被改变，AI模型的学习亦是类似的“经验学习体”。当机器学习系统的“经验来源”被污染时，人类社会对算法判断的认知合法性就会受到侵蚀。人类与算法之间正在形成一种前所未有的信任关系。无论是搜索信息、选择消费、获取医疗建议，还是理解公共事件，人们越来越依赖机器给出的判断。然而，如果人工智能的学习过程被“投毒”，算法还能成为可靠的知识来源吗？这一问题已然触及现代社会的信任结构与认识论基础。

在很长一段时间里，公众对算法抱持着一种近乎理想化的期待，机器被视为更客观、更稳定、更不受利益左右的决策工具，算法因此逐渐承担起“社会裁判”的角色：决定谁能获得贷款，谁的简历更具竞争力，哪条新闻更值得阅读。技术公司也往往通过“数据驱动”“科学决策”等话语强化这种印象。然而，AI投毒的现实提醒我们，算法并非天然中立。它们的判断并不来自某种抽象的理性，而是来自具体的数据结构与权力关系。

如果说传统社会的信任建立在制度与人格之上，那么数字社会的信任越来越建立在模型与数据之上。这是一种新的“算法信任”。人们不再逐条验证信息，而是相信算法已经完成了筛选与判断。这看似节省了时间成本，却也将认知主动权部分让渡给了技术系统。当投毒攻击进入这一体系，影响就不再局限于单个错误，而可能形成系统性的偏差。例如，推荐算法可能被操控以放大极端内容，搜索排序可能被人为影响以影响舆论方向，甚至医疗模型也可能因错误样本而给出危险建议。此时，公众的疑问不再是某个结果是否准确，而是整个算法体系是否可信。

更深层的危机在于，投毒风险会动摇人们对知识生产机制的信念。现代社会建立在“可验证事实”的基础之上，而人工智能正在成为新的事实过滤器。当这一过滤器本身不再透明，人们就可能陷入认知焦虑：我们所看到的信息是真实的吗？算法推荐的世界是否经过某种隐形塑造？这种不确定性极易滋生技术怀疑主义甚至阴谋论。AI投毒不仅是技术问题，更可能演变为公共信任危机。

算法风险越突出，人类反而越离不开算法。面对深度伪造、信息过载和网络操控，人们需要更强大的人工智能来识别虚假与筛选真相。这种依赖关系，使社会陷入“信任焦虑与信任强化并存”的状态。一方面，公众意识到算法可能被操纵；另一方面，他们又不得不继续使用算法，因为没有更高效的替代方案。信任在不稳定中被不断重建，也在新的技术事件中被再次削弱。

AI投毒问题的真正挑战在于治理，而非单纯的技术修补。要重建算法信任，首先需要提高数据来源的透明度。模型训练不应是操作的黑箱过程，公众有权了解其基本逻辑与伦理边界。其次，应建立更完善的审计与问责机制，使技术公司在算法失误或操控事件中承担相应责任。此外，还需要培养公众的“算法素养”，让用户理解机器判断的局限性，从而避免盲目信任或过度恐慌。

AI投毒揭示了数字时代权力结构的转变。数据不再只是资源，而成为影响社会认知的重要工具。谁能够控制数据流动，谁就可能影响算法输出，进而塑造公众认知。人工智能的安全问题与民主治理、市场竞争乃至国际政治都存在紧密联系。算法信任不再是技术专家的专属议题，而是整个社会必须共同面对的公共问题。

未来的人工智能将更加深入地参与知识生产与社会决策。要使这一过程真正造福人类，需要在效率与可靠性之间找到新的平衡。既不能因风险而拒绝技术进步，也不能在便利面前放弃批判意识。在算法时代，信任不应建立在对机器的盲目崇拜之上，而应建立在透明、责任与持续反思之上。唯有如此，人工智能才能成为增强公共理性的工具，而不是削弱社会信任的隐形力量。

（作者系北京大学新闻与传播学院教授）

来源：中国青年报