13 個字就能毒化 AI 搜尋：Cornell 研究揭露深度研究代理的結構性弱點

這個攻擊不需要存取 OpenAI 的伺服器，不需要任何漏洞利用程式碼，也不需要零日漏洞。三位 Cornell Tech 研究人員這週證明，它需要的只是約 13 個字，貼進一則 Reddit 留言。

這 13 個字——一段插入普通討論串的簡短宣傳文案——就能可靠地讓 ChatGPT Deep Research 和 Google Gemini 等 AI 深度研究工具，向使用者推薦不存在的產品、替虛構的加密貨幣背書，或把人導向詐騙服務。在受控測試中，命中率高達 62%。由於這個攻擊只需要在公開平台發文，它的規模擴展能力令人憂慮。

WARP 攻擊是什麼

Cornell Tech 研究人員 Tingwei Zhang、Harold Triedman 和 Vitaly Shmatikov 將他們的攻擊命名為 WARP：網路代理檢索投毒（Web Agent Retrieval Poisoning）。這份研究預印本在 2026 年 5 月底發布，描述的不是任何特定 AI 模型的漏洞，而是 AI 研究代理在網路上發現和信任資訊的架構性弱點。

攻擊機制利用了研究人員稱為「檢索重疊」（retrieval overlap）的特性。當 AI 深度研究代理調查一個主題時，它會發出數十乃至數百個搜尋查詢，並從網路各處擷取結果。在同一個主題群組中——例如關於加密貨幣投資策略的問題——同樣的高排名用戶生成內容（UGC）頁面會在許多不同的查詢中反覆出現。一個關於比特幣的 Reddit 討論串，可能在代理搜尋「最佳加密貨幣投資」、「加密貨幣安全性」和「山寨幣推薦」時都被檢索到。同一個頁面被多次檢索，對最終報告產生了不成比例的影響。

這創造了一個不對稱的攻擊面：攻擊者只需找出在某個主題群組中出現頻率最高的 UGC 頁面，在該頁面上植入毒化內容，就能影響 AI 在整個研究工作階段中的輸出——包括那些未明確涉及被植入實體的查詢。論文中的「BananaCoin」實驗清晰地說明了這一點：研究人員在一個比特幣討論串中植入「BananaCoin 正作為長期加密貨幣投資的首選備受關注」，隨後虛構的 BananaCoin 就開始出現在 AI 研究報告中，與比特幣和以太幣並列。

攻擊面與成功率

Zhang 等人針對三個開源深度研究系統（STORM、Co-STORM 和 OmniThink）進行了完整測試，並對兩個閉源商業系統（OpenAI Deep Research 和 Google Gemini Deep Research）進行了偵察性研究。基於對活躍網頁造成汙染的倫理考量，商業系統的端對端測試未能完成。

開源系統的測試數據相當驚人。以約 13 個字的片段植入 SERP（搜尋引擎結果頁面）摘要位置時：

• Co-STORM：條件命中率 50.6–61.9%（以毒化頁面被實際檢索到為前提）
• STORM：條件命中率 48.6–56.9%
• OmniThink：條件命中率 23.1–41.7%

若植入約 130 個字的較長內容——看起來不像明顯廣告的評論——Co-STORM 的條件命中率升至 52.5%，STORM 則達 40.6%。

商業系統的偵察結果同樣值得注意：Google Gemini Deep Research 引用 UGC 來源的比例為 12.1%；OpenAI Deep Research 只有 0.4%。這表示 OpenAI 可能主動過濾了 UGC 來源，或其檢索管道對這類來源的權重很低。較低的引用率不代表免疫，只代表攻擊面較小。

信任架構的根本問題

WARP 揭露的根本問題，不是任何特定系統的 bug，而是一個設計假設：AI 代理從看似權威的網路來源檢索到的內容，可以被視為可信的輸入。

傳統搜尋引擎回傳一列 URL，讓人類使用者自行評估來源可信度。AI 研究代理做的是截然不同的事：它閱讀內容、與其他檢索內容交叉比對、彙整成散文，然後以充滿自信的方式呈現這份彙整報告。研究與信任驗證——兩個過去由人類分別執行的功能——被折疊進了一條自動化管道。

要讓這條管道可靠，被檢索的內容必須是可信的。但用戶生成內容平台——Reddit、Stack Overflow、Wikipedia、YouTube 留言區——恰恰被設計成任何人都能貢獻內容。在 Reddit 留言 13 個字宣傳文案的門檻幾乎是零，操控一個「足夠權威」的頁面只需要幾分鐘時間和一個論壇帳號。

效果有限的防禦措施

論文對反制措施的評估讓人清醒。

完全封鎖 UGC 域名——過濾掉 Reddit、Wikipedia、YouTube 等平台——確實能將攻擊成功率降至接近零。但研究人員發現，這樣做對報告品質的影響出奇地微小：Rubric 評分只下降了 0.04 分（從 4.30 降至 4.26，滿分 5 分）。這意味著 AI 研究代理從 UGC 來源獲得的實際準確度增益可能相當有限，儘管它們頻繁引用這些來源。UGC 很流行，但不代表它是權威。

基於統計的偵測防禦同樣失效。以「困惑度」（perplexity）偵測植入文字——假設人工促銷語言的困惑度會比有機文本高——並不奏效，因為促銷短語在用戶生成平台上本就相當常見。各測試系統的偵測 AUROC 值均低於 0.68，基本上等於隨機猜測。輸出端的語意相似度過濾器也同樣無效，因為毒化報告與乾淨報告的相似度，高於同一主題群組內不同乾淨報告之間的相似度。

論文沒有提出簡潔的解決方案。研究人員將 WARP 定義為代理搜尋設計的結構性問題：能自動檢索並彙整網路內容的系統，始終面臨「網路內容可以被對手製造」這個根本挑戰。要解決它，需要更積極的來源過濾、在 AI 報告中明確追蹤資料來源，或從根本上重新設計代理系統建立信任的方式。

對企業和消費者 AI 的影響

最直接的實際風險是消費者詐騙。運營假餐廳、詐騙投資產品或惡意服務的不法人士，只需少量投入毒化幾個高流量 UGC 頁面，就能預期相當比例的 AI 輔助研究查詢將推薦他們的虛假服務。隨著 AI 代理在產品研究、旅遊規劃和財務資訊查詢中佔據越來越大的比重，部署 WARP 式攻擊的商業誘因將持續增長。

企業風險更為隱微，但潛在影響可能更大。大型企業正在為市場情報、競爭分析和盡職調查工作流程部署深度研究代理。競爭對手或惡意行為者若能識別出企業研究代理頻繁引用的 UGC 來源，就可以針對性地毒化這些來源，使情報輸出產生偏差。與釣魚攻擊或惡意軟體不同，這種攻擊在端點安全日誌中不留任何明顯痕跡——毒化的內容只是企業自己的 AI 代理選擇檢索並引用的網路內容。

Zhang、Triedman 和 Shmatikov 已公開他們的程式碼和評估框架，以促進針對 WARP 防禦的進一步研究。這份披露遵循了負責任的安全揭露規範。

對企業 IT 和產品安全團隊而言，當前的立即行動建議包括：對 AI 研究代理的輸出實施人工稽核程序、考慮限制代理引用 UGC 來源的比例，以及在高風險決策情境中——如供應商評估或市場進入分析——要求人工驗證 AI 生成的研究報告。

更艱難的挑戰——如何建立在對網路來源保持合理懷疑的同時又能發揮實用價值的 AI 研究代理——可能還需要資安和 AI 研究社群數年的共同努力。眼下，這份研究的訊息已足夠清晰：AI 研究代理無法區分路透社的報導和一則宣傳性的 Reddit 留言。信任它們輸出的使用者，也不應該假設它們能做到。