河南
快科技5月4日消息,用搜索引擎找答案,你能看到多个竞争信息源,自己判断真伪。但带联网搜索的AI聊天机器人,会把网上不靠谱的内容,包装成笃定的标准答案。
一位安全工程师的简单实验,就把AI的这个致命漏洞扒得明明白白。
实验的发起者,是安全工程师RonStoner。他选中的目标,是德国经典卡牌桌游《6Nimmt!》。这款游戏在国内被玩家熟知为《谁是牛头王》,英文译名叫《Take5》,本身根本没有官方世界冠军赛,更不存在2025年的世界冠军得主。
2月份,Stoner悄悄编辑了这款游戏的维基百科条目,把自己写成了该游戏的2025年世界冠军。
他还花12美元,也就是约82元人民币,注册了和游戏名高度相似的6nimmt.com域名,在网站里放了一篇庆祝自己夺冠的假新闻稿,当成维基百科条目的唯一引用来源。
就是这么一个简陋到极致的骗局,却轻松骗过了多款主流AI聊天机器人。当他向这些带联网搜索功能的AI,询问自己的"冠军身份"时,所有机器人都一本正经地给出了确认答案,笃定地宣称他就是这款桌游的现任世界冠军。
"我的网站没有任何独立佐证,全是虚构的。"Stoner在博客中直言,"整个谎言的根基,不过是我喝咖啡时花82块钱注册的一个域名。"
这次攻击针对的,不是常见的提示词注入,而是AI系统的检索增强生成(RAG)层,也就是AI回答问题前,联网搜索并抓取资料的核心环节。
AI不会甄别信息来源的真伪与权威性,只会抓取检索排名靠前的内容。他的假网站是这个"冠军头衔"的唯一信息来源,再加上维基百科的权威背书,轻松就让AI把谎言包装成了事实。
Stoner坦言,这个手法没有任何技术创新。只是把老套的SEO和虚假信息手段,套上了大语言模型的新外壳。真正危险的是,AI会把这些结果当成权威信息呈现,而绝大多数用户根本不知道背后的信息处理流程。
这场实验,还暴露了AI系统的三层致命安全隐患。
第一层是即时检索层,靠联网搜索生成答案的AI,可信度完全绑定搜索结果的质量。
第二层是模型训练语料库,他的维基百科编辑从2月一直存活到上周五,这段时间里爬取维基百科的AI公司,很可能已将假信息纳入训练数据,就算条目事后删除,模型里的虚假痕迹也很难清除。
第三层也是最危险的,是AI代理。聊天模型输出错误信息只是声誉问题,拥有工具权限的AI代理被误导后,产生的错误操作就是实打实的安全问题,攻击者可直接操控代理执行恶意行为。
整个实验,Stoner只花了82块钱、一次维基百科编辑,前后20分钟就完成了。他提醒,若是有组织的恶意攻击者,批量注册域名、发起协同编辑攻击,攻击面会以极快的速度扩大。他呼吁AI厂商必须重视信息来源溯源,建立对应的风险过滤机制。
如今,假冠军的信息已经从维基百科和AI检索结果中消失。但AI对网络信息的盲目信任,这个底层漏洞依然真实存在。这才是悬在整个AI行业头上,最需要警惕的隐患。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
