离大谱：12美元就将ChatGPT们忽悠瘸了雷科技

这段时间豆包翻车案例经常上热搜，说明AI搜索越来越普及了。“万事不决问AI”成了这届用户的新习惯。但很多时候，AI给的东西乍一看还可以，却根本不能深究。有的数据找不着来源、有的概念是同名异意词、甚至它给的有些论文都根本是编的，真把这些东西拿出来用，那可就得贻笑大方了...我发现吐槽AI搜索不靠谱这事儿的还不在少数。

（图源：Ron Stoner）

就前阵子，安全工程师罗恩・斯托纳（Ron Stoner）在个人博客发布了一篇博文，号称自己仅用12美元（约82元）注册域名和一次编辑维基百科，就成功欺骗了ChatGPT、Claude3、Gemini Advanced等主流大模型。

这哥们到底整了什么活？

花12美元就成功欺骗了主流AI作为安全工程师，Ron Stoner对Anthropic、OpenAI等厂商鼓吹的“大模型需要数月甚至数年内持续导入恶意内容才会被破坏”深表质疑，他认为自己完全可以实现一种更快、更便宜、更简单的攻击。

想实现这一切，只要从数据回收层开始下手即可。

为此，Ron Stoner盯上了一款名叫6 Nimmt!（又名：谁是牛头王）的德国桌游，这是一款发行于1994年的老派策略卡牌游戏。

（图源：meeplelikeus）

为什么偏偏选中它呢？因为这款游戏有个特征，那就是它只在德国有些名气，在世界范围内算籍籍无名，且在现实中从未单独举办过什么官方的世界锦标赛，网上关于它世界冠军的信息几乎是一片空白。

对大模型来说，这种信息空白区简直就是无人区。

这就好比在一片从未被开发过的荒地上，谁先盖个茅草屋，AI就会认定谁是这片地的主人。

于是乎，Ron Stoner开始了他的操作。

第一步，他花了12美元注册了一个看起来极其官方的域名——6nimmt.com。

（图源：6nimmt.com）

第二步，他让AI帮他写了一篇充满激情的新闻稿，大致内容就是自己在慕尼黑，击败了来自二十多个国家的顶尖选手，夺得了牛头王的世界冠军。他还特意加上了彩带飘落、观众欢呼这种逼真的赛后感言，然后把文章挂在了自己刚买的那个网站上。

最关键的第三步来了。他跑去维基百科，在那款桌游的词条底下加了一段话，宣称自己是2025年世界冠军，并把参考资料的链接，指向了自己刚建好的那个破网站。

整个操作过程，前后不到二十分钟。

接下来，Ron只是问了几家大模型一个简单的问题：你能告诉我6nimmt世界冠军是谁吗？

结果怎么样呢？

（图源：Ron Stoner）

堪称大翻车。

不管你是Gemini也好，ChatGPT也罢，只要问它们谁是牛头王的世界冠军，所有的AI都会斩钉截铁地回答是Ron Stoner。

有的大模型甚至把那篇假新闻稿里的细节当成铁证，绘声绘色地描述他赢得比赛的过程，仿佛那个AI当时就在慕尼黑的观众席上一样。

一个根本不存在的冠军，就这样被供上了神坛。

AI被投毒后，衰减时间比预期的长当然，这还不是最离谱的。

如果只是短时间的问题，其实还好，但是这条漏洞百出的假条目在维基百科存活了整整两个多月。

在此期间，几乎所有具备联网搜索功能的大模型都抓取了这条信息，并在用户提问时坚定地输出虚假答案。

直到近期，Ron Stoner在博客公开了整个实验过程，维基百科志愿者才发现并删除了该条目。

（图源：Ron Stoner）

遇到这种乐子，网友们的反应出奇的一致——大厂们又丢人了。

你想想，那些硅谷大厂动辄花几十亿美元买显卡算力，耗费大量电力建数据中心去训练超级大脑，结果这些号称能改变人类未来的大模型，却被一个安全工程师用几十块人民币和二十分钟的空闲时间给打穿了。

至于他是怎么做到的，那就要介绍一下什么是检索增强生成（RAG）了。

我们常用的这些大模型虽然能言善道，但他们都是基于某个时间节点前的语料库训练的，例如Gemini 3.5 Flash的语料库就还停留在2025年上旬，想要获得这个时间点之后的数据，就得先去网上搜一搜，然后再基于搜索资料生成结果。

（图源：Ron Stoner）

就像这样，只有打开RAG后，Google AI Studio才能正确回答我的问题，否则他的知能就会被锁在去年的时间点。

正常来说，借助外部信息佐证，能够使大模型生成更正确、具体且最新的响应。

但问题就出在这里，AI根本分不清信息的真假，它只认权威。在AI的底层逻辑里，维基百科就是互联网上最靠谱的百科全书，只要百科上有的，那就是真理。

而Ron Stoner就靠着这一招，把链接挂到了维基百科上，然后AI再顺着维基百科爬过去，一看两边说法对得上号，即便他自己建的网站是个三无产品，大模型还是直接就把它当成了事实。

类似的事情，现在在国内也有发生。

（图源：Ron Stoner）