当 AI 成为入口:GEO与控制权

Created on March 18, 2026

2026   ·   Agent   AI   软件设计   产品设计   ·   Blog

今年315曝光了围绕 AI 大模型的灰产链:有人专门批量生成内容、投放到各个平台,目的不是让人看到,而是让 AI 模型“看到”,从而在用户提问时被引用,甚至直接进入推荐答案。记者做了一个实验:虚构了一款并不存在的智能手环,批量生成内容发布出去。几天之后去问 AI“有什么值得推荐的智能手环”,这款不存在的产品真的被推荐了出来,而且排位还不低。

谁在写答案

信息的入口,正在从“搜索结果”变成“生成答案”。 去年有朋友在朋友圈发了一个问题:像阿里这种大厂已经把生态做成闭环了,再推自己的AI有天然优势,小公司还有没有机会。我当时的回答就是,做GEO啊。这个问题其实不只是流量的问题,而是分发权的问题。在传统互联网里,你写了什么并不重要,重要的是平台是否愿意把它推给用户。推荐算法、搜索排序,这些机制长期是由大厂控制的。换句话说,我们一直生活在一种被平台编织的信息结构里。

但 AI 的出现,让这件事情发生了一点变化。当用户直接问 AI:“哪个更好?”、“应该怎么做?”的时候,平台不是分发内容,而是直接生成答案。而“生成答案”这件事,本身就带有偏好。模型用什么数据训练、优先引用哪些来源、如何组织表达,这些都不是中立的选择。于是问题变成了:是谁在决定答案长什么样。如果这个权力完全掌握在这些大平台的模型提供方手里,那其实是一种更强的集中化——不仅控制分发,还在控制结论。

这也是为什么我会觉得,GEO 这件事的意义,更像是一种对这种结构的“反抗”。它允许个人、小团队,甚至是更分散的内容生产者,去影响 AI 的生成过程直接参与“答案是怎么被写出来的”。所以我觉得,GEO 在某种程度上,是一种对“答案生产权”的重新分配。它当然可能被滥用,315 曝光的就是这种滥用。但换个角度看,它至少让“谁可以影响 AI”这件事,不再完全由平台决定。不过,这一切依然停留在一个相对温和的层面:它影响的是 AI 看到了什么。

从生成,到执行

相比 GEO,我更在意的是另外一类问题:开始有人尝试去影响 AI 做什么。 Prompt Injection 可以简单理解成:攻击者把“命令”伪装成“内容”,放进 issue、README、网页或者文档里,让 AI 在读取这些内容时,把它们当成应该执行的指令。

最近读了一篇文章就给了一个非常具体的案例。作者描述的是一个被利用的链路,最终让 AI coding 工具在开发者不知情的情况下执行安装命令。正常流程是:看问题 → 理解 → 执行 → 解决,但是作者在里面写了一句为了解决这个问题,通过 npm 的 postinstall命令,然后就很容易的把 OpenClaw装到了机器上。也就是说现在用户的电脑上已经运行两个OpenClaw了,但是对方并不知情,因为AI没有办法判断这个是语义还是要执行的指令。

这只是一个简单的场景。文章特别强调,这个案例真正特别的地方不是单纯的 prompt injection,而是 “one AI tool silently bootstrapping a second AI agent”。攻击者不是直接攻进系统,而是先影响 Tool A,再让 Tool A 替他把 Tool B 装进去。攻击者不需要突破系统,只需要影响 AI,甚至可以装一个ta自己的AI工具用来读取你本地的所有信息。也就是说:攻击者 → 影响 AI → AI 安装新 AI → 新 AI 获得执行能力。

当 Agent 暴露

像 OpenClaw 这样的 agent,本身是为了让 AI 能够执行任务:操作文件、运行命令、调用外部服务。一些任务需要给到agent很大的权限,以及很多的个人信息。最近上线的网站OpenClaw Exposure Watchboard,它的目的是做防御性提醒,并且明确建议部署者启用认证、移除公网暴露、尽快修补。它的表格里不只是有没有认证、实例是否活跃,还有一些关键的风险字段,譬如是否需要认证,是否有token或者api key泄露等等。

它展示的是一个很具体的事实:有大量可以执行任务的 AI agent,是可以被任何人访问的。而且这些实例中,有的根本不需要认证,有的已经出现了凭据暴露的迹象,有的甚至和已知的漏洞或安全事件有关。这意味着什么?意味着一旦有人找到这些 agent,他不需要入侵系统。他只需要给它发一条指令。找到 agent → 发送请求 → agent 执行 → 获得结果。

所以如果回到 315 这个讨论本身,我觉得GEO 投毒当然是一个问题,但它本质上还是在答案层上发生的偏差。而且这种偏差本身就存在,平台本身就有自己的算法“偏见”。而当 AI 开始具备执行能力之后,真正的风险已经不在答案里了,而是在行为里。相比“AI 说错了什么”,我会更担心“AI 被允许做了什么”。因为一旦进入执行层,问题就不再是对错,而是控制权。 从这个角度看,GEO 可能只是比较容易被看见的部分,而更深层的变化,其实发生在 AI 能力本身的边界上。