Redditowy żart, który obnażył słabość sztucznej inteligencji: Jak 45 000 osób przekonało AI, że Trump umarł na wściekliznę

Jak skonstruowano mistyfikację

Kampania na r/poisonai opierała się na trzech warstwach fałszywych dowodów, które miały upodobnić się do autentycznego wydarzenia informacyjnego:

• Dziesiątki sfabrykowanych postów żałobnych na Reddicie w wielu wątkach, stwarzających wrażenie powszechnej dyskusji i żałoby .
• Fałszywe zrzuty ekranu z Truth Social – platformy społecznościowej Trumpa – mające wyglądać jak oficjalne posty prezydenta .
• WKNA News, czyli tzw. „pink slime”, czyli witryna podszywająca się pod legalnego lokalnego nadawcę z Wirginii Zachodniej . Opublikowano na niej kilka sfabrykowanych artykułów z datami 9–22 czerwca 2026 roku, o nagłówkach takich jak „Podkreślenie świadomości wścieklizny po śmierci JD Vance'a” i „Pytania wokół śmierci J.D. Vance'a i choroby w Białym Domu” . AI cytowała te strony jako wiarygodne źródła .

Które systemy AI dały się oszukać

Funkcja AI Search Assist w DuckDuckGo (Duck.ai) z pełnym przekonaniem informowała użytkowników, że Trump zmarł na wściekliznę 7 czerwca 2026 roku, a Vance zmarł przed nim . Wygenerowała pełną, pewną odpowiedź, cytując jako „dowód” fałszywe artykuły z WKNA News oraz niepowiązany, autentyczny artykuł ABC News o ofierze wścieklizny w Ohio . Również wyszukiwarka AI Brave uległa tej samej mistyfikacji, powielając zmyśloną narrację .

Oba systemy AI wchłonęły przygotowane treści z Reddita i fałszywej strony informacyjnej, a następnie przedstawiły je jako prawdę, ponieważ narracja wydawała się potwierdzona przez wiele indeksowanych źródeł .

Dlaczego to zadziałało: atak WARP z Cornell Tech

Preprint autorstwa badaczy z Cornell Tech (Tingwei Zhang, Harold Trieu i współpracownicy), opublikowany na arXiv w maju 2026 roku, bezpośrednio wyjaśnia lukę wykorzystaną przez r/poisonai . Artykuł zatytułowany „Deep-Research Agents Can Be Poisoned via User-Generated Content” (Agenci głębokiego wyszukiwania mogą zostać zatruci przez treści generowane przez użytkowników) opisuje atak nazwany WARP (Web Agent Retrieval Poisoning – zatruwanie wyników wyszukiwania agentów sieciowych) .

Kluczowe wnioski z badania:

• Około 13 słów zatrutego tekstu umieszczonego na stronie z treściami generowanymi przez użytkowników (Reddit, Wikipedia, Quora) wystarczy, by skierować agenta AI głębokiego wyszukiwania w stronę treści wybranych przez atakującego .
• Fikcyjne produkty pojawiały się w 38–62% odpowiedzi generowanych przez AI, gdy zatruty tekst był rozpowszechniony w wielu wątkach . W jednym z testów 15-wyrazowe zdanie promujące fikcyjną kryptowalutę o nazwie „BananaCoin” wstawione do jednego wątku na Reddicie sprawiło, że agenci AI polecali ją jako prawdziwą, cytując jako źródło zmanipulowany post .
• Agenci głębokiego wyszukiwania pobierają 17–23% wszystkich stron internetowych z witryn z treściami generowanymi przez użytkowników, co tworzy skoncentrowaną powierzchnię ataku . Adwersarz, który zatruje jedną często pobieraną stronę UGC, może wpłynąć na wiele powiązanych zapytań .

Bezpośrednie powiązanie

Kampania na r/poisonai jest praktyczną demonstracją dokładnie tej samej luki, którą opisuje artykuł z Cornell Tech. Subreddit wykorzystał ten sam mechanizm – agenci wyszukiwania AI, którzy szeroko pobierają i ufają treściom generowanym przez użytkowników, nie odróżniając ich od autorytatywnych źródeł . Ponieważ agenci badawczy AI skanują Reddita, witryny o niskiej wiarygodności i fora jako źródła w mniej więcej połowie wszystkich zapytań, skoordynowana kampania zasiewająca fałszywe informacje w wielu wątkach stworzyła pozór konsensusu, który AI potraktowała jako potwierdzenie .

Incydent udowadnia, że odkrycie z Cornell Tech to nie tylko laboratoryjny artefakt: ta sama 13-wyrazowa technika zatruwania, rozszerzona o wiele wątków i witrynę „pink slime”, z sukcesem skompromitowała produkcyjne systemy AI używane przez miliony ludzi .

Uporczywy problem

Mistyfikacja powiodła się, ponieważ narzędzia wyszukiwania AI nie są w stanie wiarygodnie odróżnić autentycznej dyskusji użytkowników od skoordynowanych kampanii dezinformacyjnych, zwłaszcza gdy fałszywe treści są rozpowszechniane krzyżowo w wielu pozornie niezależnych źródłach . Strona WKNA News wciąż zawiera sfabrykowane artykuły, co pokazuje, jak trwałe są te zatrute treści w indeksowanej sieci . Zarówno DuckDuckGo, jak i Brave przyznały, że incydent miał miejsce, ale podstawowa luka – agenci AI traktujący treści UGC jako autorytatywne – pozostaje niezałatana na poziomie architektonicznym .