一場Reddit惡作劇如何讓AI搜尋引擎「見證」川普死於狂犬病

騙局是如何建構的

r/poisonai 行動建構了三層偽造證據，使其看起來像一個合法的新聞事件：

• 數十則虛假的Reddit哀悼貼文，散佈在多個討論串中，製造出廣泛討論和哀悼的假象 。
• 偽造的川普Truth Social截圖，旨在看起來像是來自總統帳號的官方發文 。
• WKNA News，一個偽裝成西維吉尼亞州合法地方電視台的「粉紅肉」（pink slime）網站 。該網站發布了多篇日期為2026年6月9日至22日的虛構文章，標題包括「范斯死後強調狂犬病意識」和「圍繞J.D.范斯之死與白宮疾病的疑問」 。AI將這些頁面引用為可信來源 。

哪些AI系統受騙

DuckDuckGo的AI搜尋輔助功能（Duck.ai）自信地告訴用戶，川普於2026年6月7日死於狂犬病，而范斯比他更早去世 。它產生了一個完整且自信的答案框，引用了虛假的WKNA News文章，並將一篇不相關的真實ABC新聞關於俄亥俄州狂犬病受害者的文章作為「證據」 。Brave的AI搜尋也同樣上當，重複了虛構的敘述 。

這兩個AI系統都從Reddit和虛假新聞網站攝取了植入的內容，然後將其視為事實呈現，因為這個敘述似乎在多個索引來源中得到了證實 。

為何它能成功：康乃爾大學的WARP攻擊

來自康乃爾大學（Cornell Tech）研究人員（Tingwei Zhang、Harold Trieu 等人）的一份預印本研究，於2026年5月發佈在arXiv上，直接解釋了r/poisonai所利用的漏洞 。這篇名為「深度研究代理可經由用戶生成內容被投毒」的論文，介紹了一種稱為 WARP（Web Agent Retrieval Poisoning，網路代理檢索投毒） 的攻擊 。

該研究的關鍵發現包括：

• 僅需在用戶生成內容頁面（Reddit、維基百科、Quora）植入一段約13個字元的投毒段落，就足以引導深度研究AI代理趨向攻擊者選擇的內容 。
• 當投毒文本散佈在多個討論串中時，虛構產品出現在AI生成回應中的比例高達38%至62% 。在一個測試中，一個15字元的句子被插入到一個關於加密貨幣的討論串中，推廣一個名為「BananaCoin」的虛構加密貨幣，結果導致AI代理將其推薦為真實產品，並引用被操控的貼文本身作為來源 。
• 深度研究代理從用戶生成內容網站提取的網頁佔總數的17%至23%，這形成了一個集中的攻擊面 。一個對手若對一個經常被檢索的UGC頁面投毒，就可能影響許多相關查詢的結果 。

直接的關聯

r/poisonai 行動是康乃爾大學論文所述漏洞的真實世界演示。該社團利用了相同的機制——AI搜尋代理廣泛攝取用戶生成內容，卻無法將其與權威來源區分開來 。由於AI研究代理在約半數的查詢中都會從Reddit、低可信度網站和論壇抓取資料，因此一個跨越多個討論串的協同播種行動營造出共識的假象，而AI則將其視為互相佐證 。

此事件證明了康乃爾大學的發現並非實驗室裡的假象：同樣的13字投毒技術，在規模化後加上多個討論串和一個「粉紅肉」網站，成功地攻破了數百萬人使用的生產級AI系統 。

持續存在的問題

這個騙局之所以成功，是因為AI搜尋工具無法可靠地區分真正的用戶討論和協調的虛假訊息活動，特別是當虛假內容跨平台張貼在多個看似獨立的來源上時 。WKNA News網站至今仍保留著那些虛構的文章，顯示了這些被投毒的內容在索引網路中的持久性 。DuckDuckGo和Brave都已承認此事件，但底層的弱點——AI代理將用戶生成內容視為權威來源——在架構層面上仍未得到修補 。