Så lurade en grupp på Reddit DuckDuckGos och Braves AI – att Trump dog i rabies

Så konstruerades bluffen

Kampanjen från r/poisonai byggde upp tre lager av falska bevis som såg ut som en legitim nyhetshändelse:

• Dussintals fabricerade sorgeinlägg på Reddit i flera trådar, vilket skapade ett intryck av omfattande diskussion och sorg .
• Falska skärmdumpar från Trumps Truth Social, utformade för att se ut som officiella inlägg från presidentens konto .
• WKNA News, en så kallad "pink slime"-sajt som utger sig för att vara en legitim lokal TV-station i West Virginia . Sajten publicerade flera fabricerade artiklar daterade 9–22 juni 2026, med rubriker som ”Rabies awareness emphasized following death of JD Vance” och ”Questions surrounding death of J.D. Vance and White House illness” . AI:n citerade dessa sidor som trovärdiga källor .

Vilka AI-system lurade?

DuckDuckGos AI Search Assist-funktion (Duck.ai) berättade självsäkert för användare att Trump dött i rabies den 7 juni 2026 och att Vance avlidit före honom . Den producerade en fullständig, säker svarsruta med hänvisning till de falska WKNA News-artiklarna tillsammans med en orelaterad verklig ABC News-artikel om ett rabiesoffer i Ohio som ”bevis” . Braves AI-sök gick på samma bluff och upprepade den fabricerade berättelsen .

Båda AI-systemen tog in det planterade innehållet från Reddit och den falska nyhetssajten och presenterade det som sanning eftersom berättelsen verkade bekräftad av flera indexerade källor .

Därför fungerade det: Cornell Techs WARP-attack

En förstudie från forskare vid Cornell Tech (Tingwei Zhang, Harold Trieu och kollegor), publicerad på arXiv i maj 2026, förklarar direkt den sårbarhet som r/poisonai utnyttjade . Artikeln – med titeln ”Deep-Research Agents Can Be Poisoned via User-Generated Content” – introducerade en attack som kallas WARP (Web Agent Retrieval Poisoning) .

Viktiga resultat från studien:

• En enda förgiftad passage på cirka 13 ord i ett användargenererat innehåll (Reddit, Wikipedia, Quora) räcker för att styra en AI-agent mot angriparens valda innehåll .
• Fiktiva produkter förekom i 38–62 % av AI-genererade svar när den förgiftade texten spreds över flera trådar . I ett test fick en mening på 15 ord som marknadsförde en påhittad kryptovaluta som heter ”BananaCoin” AI-agenter att rekommendera den som verklig, med den manipulerade posten som källa .
• AI-agenter hämtar 17–23 % av alla webbsidor från användargenererade sajter, vilket skapar en koncentrerad attackyta . En angripare som förgiftar en enda ofta hämtad UGC-sida kan påverka många relaterade frågor .

Den direkta kopplingen

Kampanjen från r/poisonai är en verklig demonstration av den exakta sårbarhet som Cornell Tech-artikeln beskriver. Subredditen beväpnade samma mekanism – AI-sökagenter som brett hämtar och litar på användargenererat innehåll utan att skilja det från auktoritativa källor . Eftersom AI-forskningsagenter skrapar Reddit, sajter med låg trovärdighet och forum som källor i ungefär hälften av alla frågor, skapade en samordnad såddkampanj över flera trådar ett intryck av konsensus, vilket AI:n behandlade som bekräftelse .

Händelsen bevisar att Cornell Tech-fyndet inte är ett laboratoriefenomen: samma 13-ordsförgiftningsteknik, uppskalad med flera trådar och en ”pink slime”-sajt, lyckades kompromettera produktions-AI-system som används av miljontals människor .

Det bestående problemet

Bluffen lyckades eftersom AI-sökverktyg inte på ett tillförlitligt sätt kan skilja mellan äkta användardiskussion och samordnade desinformationskampanjer, särskilt när falskt innehåll sprids över flera till synes oberoende källor . WKNA News-sajten har fortfarande de fabricerade artiklarna uppe, vilket visar hur beständigt detta förgiftade innehåll är i det indexerade webben . Både DuckDuckGo och Brave har erkänt incidenten, men den underliggande sårbarheten – AI-agenter som behandlar användargenererat innehåll som auktoritativt – förblir opatchad på arkitekturnivå .