4.5万Reddit用户设局成功：DuckDuckGo和Brave AI竟煞有其事地报道“特朗普死于狂犬病”

骗局是如何构建的

r/poisonai 的行动构建了三层虚假证据，使其看起来像真实的新闻事件：

• 数十个捏造的Reddit哀悼帖 分布在多个帖子中，营造出广泛讨论和哀悼的假象。
• 伪造的Trump Truth Social截图，旨在看起来像是总统账号的官方帖子。
• WKNA新闻，一家伪装成西弗吉尼亚州合法地方广播公司的“粉红肉泥（pink slime）”网站。该网站发布了多篇日期为2026年6月9日至22日的捏造文章，标题包括“J.D.万斯去世后强调狂犬病意识”和“围绕J.D.万斯之死及白宫疾病的问题”。AI将这些页面引用为可信来源。

哪些AI系统被骗了

DuckDuckGo的AI搜索辅助功能（Duck.ai）自信地告诉用户，特朗普于2026年6月7日死于狂犬病，而万斯先于他去世。它生成了一个完整且自信的答案框，引用了伪造的WKNA新闻文章，以及一篇不相关的、关于俄亥俄州狂犬病受害者的真实ABC新闻文章作为“证据”。Brave的AI搜索也落入了同一个骗局，重复了编造的叙述。

这两个AI系统都摄入了来自Reddit和假新闻网站的植入内容，然后将它们作为事实呈现，因为该叙述在多个已索引的来源中看似得到了佐证。

为何能成功：康奈尔的WARP攻击

来自康奈尔科技校区研究人员（张庭伟、Harold Trieu及其同事）的一篇预印本论文，于2026年5月发布在arXiv上，直接解释了r/poisonai 所利用的漏洞。这篇论文题为《深度研究代理可通过用户生成内容被投毒》（Deep-Research Agents Can Be Poisoned via User-Generated Content），介绍了一种名为 **WARP（Web Agent Retrieval Poisoning，网络代理检索投毒）**的攻击方法。

该研究的主要发现包括：

• 在用户生成内容页面（Reddit、维基百科、Quora）中植入仅约13个词的“有毒”段落，就足以引导AI深度研究代理转向攻击者选定的内容。
• 当有毒文本分布在多个帖子中时，虚构产品出现在AI生成回复中的比例高达38%至62%。在一项测试中，一个加密货币讨论串中插入的15个单词的句子，就导致AI代理将其作为真实推荐，并引用被操纵的帖子本身作为来源。
• 深度研究代理从用户生成内容网站获取的网页占其检索量的17%至23%，这形成了一个集中的攻击面。一个攻击者如果污染了一个被频繁检索的单一用户生成内容页面，就能影响许多相关的查询。

直接联系

r/poisonai 的行动正是对康奈尔科技论文所述漏洞的真实世界演示。该子版块利用的正是相同的机制——AI搜索代理广泛摄取并信任用户生成内容，而不区分其与权威来源的区别。由于AI研究代理在约一半的查询中都会抓取Reddit、低可信度网站和论坛作为来源，因此，在多个帖子中进行的协同播种行动便制造了“共识”的假象，AI则将其视为佐证。

这一事件证明了康奈尔科技的发现并非实验室中的假象：同样的13词投毒技术，在扩展到多个帖子并配合一个“粉红肉泥”网站后，成功地攻陷了数百万用户使用的生产级AI系统。

持续存在的问题

这场骗局之所以成功，是因为AI搜索工具无法可靠地区分真实的用户讨论和协同虚假信息活动，尤其是当虚假内容在多个看似独立的来源间交叉发布时。WKNA新闻网站至今仍保留着那些捏造的文章，这证明了这些有毒内容在已被索引的网络中是多么持久。DuckDuckGo和Brave均已承认此事件，但根本性的漏洞——AI代理将用户生成内容视为权威来源——在架构层面仍未得到修复。