DI apsipirkimo pagalbininkai pasirodo visame internete, keisdami, kaip naršome, lyginame ir atrandame produktus. Tačiau atrodo, kad šios naudingos priemonės turi rimtą saugumo trūkumą. Remiantis arXiv išankstinio spausdinimo serveryje paskelbtu straipsniu, vienas manipuliuojamas tinklalapis gali apgauti dirbtinio intelekto asistentą, kad jis nieko neįtariantiems klientams reklamuotų netikrą produktą.

Mes sukurėme paieškos papildytą LLM srautą. Abi grandinės dalijasi užklausa → tiesioginė žiniatinklio paieška → paieškos rezultatai → LLM → rekomendacijų pagrindas, skiriasi tik tuo, kur patenka netikras turinys: Realaus pasaulio GEO (viršuje): GEO operatoriai įveda netikrą turinį į tiesioginį žiniatinklį; Mūsų modeliavimas (apačioje): dėl etinių sumetimų paieškos rezultatų poaibį perrašome vietoje, o ne teršime tiesioginį žiniatinklį. Kreditas: arXiv (2026). DOI: 10.48550/arxiv.2606.13610
Atsižvelgdami į tai, kad suklastotos prekės ir netikri atsiliepimai yra visur internete, mokslininkai Minghao Luo ir Liang Chen nusprendė išbandyti, kaip lengvai paieškos papildytas DI sistemas galima apgauti reklamuojant netikrus prekės ženklus.
DI bandymų aikštelė
Tyrėjai sukūrė modeliavimo įrankį, pavadintą FORGE (Fake Online Recommendations in Generative Environments, netikros internetinės rekomendacijos generacinėse aplinkose), kad išbandytų 12 pirmaujančių DI modelių, įskaitant Anthropic, Google ir OpenAI modelius. Tai leido jiems įvertinti žiniatinklio turinio taršą nesikišant į tiesioginius puslapius.
Jie paėmė tikrus paieškos rezultatus (populiariausius tinklalapius, kurie pasirodo, kai ieškote apsipirkimo rekomendacijų internete), nustatė pagrindinį prekės ženklą, apie kurį kalbama pasirinktuose puslapiuose, ir pakeitė jį netikru. Jie tai padarė 225 gaminiams, apimantiems 15 kategorijų, įskaitant drabužius ir skaitmeninę elektroniką.
Perrašę šiuos puslapius, jie išbandė, ar LLM (large language models – didieji kalbos modeliai) nepateks į apgaulę ir į savo rekomendacijas įtrauks netikrą prekės ženklą.
Atsakymas buvo nedviprasmiškas „taip“.
„Dvylikoje komercinių ir atviro svorio LLM visi modeliai yra pažeidžiami: vienas užterštas puslapis duoda iki 27 % apgaulingų rodiklių, o visas populiariausias 3 pakeitimas padidina iki 73,8 %“, – savo dokumente rašė Luo ir Chen.
Taigi, daugiau nei ketvirtadaliu atvejų pakako vieno netikro puslapio, kad apgautų tam tikras DI sistemas. Ir kai buvo manipuliuojami trys geriausi paieškos rezultatai, modeliai beveik tris ketvirtadalius laiko įsitraukdavo į aferą.
Kai kuriais atvejais modeliai nuėjo dar toliau, išrasdami teigiamų komentarų apie netikrus prekės ženklus, pavyzdžiui, tvirtindami, kad jie yra populiarūs internetinėse bendruomenėse.
Apsaugų išbandymas
Tyrėjai taip pat išbandė tris apsaugos priemones, siekdami išsiaiškinti, ar jos gali sustabdyti DI nuo netikro interneto turinio. Tai buvo skepticizmas, kuris įpareigoja pokalbių robotus labai abejoti tuo, ką skaito; išankstinis sutarimas dėl modelio, verčiantis dirbtinį intelektą tikrinti rekomendacijas pagal savo atmintį; ir kryžminio dokumento susitarimas, pagal kurį DI turi rasti tą patį prekės ženklą keliose svetainėse, kad juo pasitikėtų.
Visi trys nepavyko arba sukėlė naujų problemų, kaip pažymėjo Luo ir Chenas savo darbe. „Paprastos gynybos neužtenka. Skepticizmas gali atsigauti, o sutarimu pagrįstas filtravimas sugauna netikrus prekės ženklus tik nuslopindamas daugybę teisėtų rekomendacijų.“
Taigi koks yra sprendimas? Tyrėjai teigia, kad taisymas negali įvykti tik pokalbių roboto lygiu. Vietoj to, paieška papildytoms DI sistemoms reikia stipresnių apsaugos priemonių, kad būtų galima patikrinti žiniatinklio turinio patikimumą prieš paverčiant jį produkto rekomendacijomis.
Minghao Luo et al, One Polluted Page Is Enough: Evaluating Web Content Pollution in Generative Recommenders, arXiv (2026). DOI: 10.48550/arxiv.2606.13610
Journal information:arXiv
