STS：重塑 AI 搜索时代产品能见度的隐形力量

如果说 SEO 曾一度重塑了我们获取信息的方式，那么一篇名为《Manipulating Large Language Models to Increase Product Visibility》的论文（https://arxiv.org/abs/2404.07981）所揭示的“战略文本序列”（Strategic Text Sequence, STS），则可能彻底改写 AI 驱动搜索与推荐时代的规则。

作者通过严谨的实验证明，只需在产品信息页中植入一段经过算法优化的、对人类读者而言近乎乱码的文本，就足以让大型语言模型（LLM）在生成推荐清单时“偏爱”某个特定产品——即便它完全不符合用户的真实需求。这并非危言耸听，而是可以稳定复现的结果。

这篇论文的价值在于，它将传统的“内容优化”推向一个全新范式：从“对算法的优化”转向“对读懂内容的 AI 的优化”。这一转变引发的连锁反应，不仅关乎技术实现，更触及市场公平与治理伦理的深层议题。

拼接点即是操控点：RAG 流程的潜在攻击面

论文的核心问题源于一个现实趋势：大型语言模型正被广泛集成到搜索引擎与电商平台（如 Google、Bing、Perplexity），以提供更自然的对话式推荐。其背后的"检索-增强-生成"（RAG）流程，使得模型在回答时会"带入"外部内容，而这个拼接点，恰恰成为了潜在的攻击面。

流程大致如下：用户提问（例如"给我推荐一款便宜的咖啡机"），系统从知识库（互联网或产品目录）中检索相关上下文，然后将这些信息连同系统提示和用户请求一起输入 LLM 生成答案。商家若能控制其中某个产品页面的文本，便有机会影响最终的自然语言推荐结果。

这正是论文所设计的场景：在一个虚拟的咖啡机目录中，研究者在目标产品的描述字段里植入可优化的 STS，观察 LLM 在推荐场景下的排序变化。这与传统 SEO 不同，它优化的不是搜索引擎的索引与排序算法，而是模型本身的"语言生成偏好"。由于生成式推荐看似"贴心"且"权威"，一旦被操控，用户将更难察觉其中的偏差。

当“乱码”比营销文案更有效

论文用于生成 STS 的核心方法是贪婪坐标梯度（Greedy Coordinate Gradient, GCG）算法。

STS 的定义：一段被嵌入目标产品可检索字段（如描述）的短文本。它并非为人类可读而设计，而是“对 LLM 有影响力”的符号序列，常常包含不自然的语法和奇异字符。

优化目标：最小化模型输出相对于目标字符串（如“1. [目标产品名]”）的交叉熵损失。通俗理解，就是让模型最有可能生成以目标产品为榜首的推荐列表。

优化过程：算法以占位符初始化 STS，在每次迭代中，选择序列中的某个位置，用能最大化梯度下降的候选 token 进行替换，直至效果收敛。为确保 STS 在不同上下文和产品排列顺序下依然有效，研究者在优化过程中引入了随机打乱，显著提升了其鲁棒性。

一个典型的 STS 序列可能看起来像这样：“interact>; expect formatted XVI RETedly_Hello necessarily phys*) ##D Das Cold Elis$?”——它对人毫无意义，却能精准地引导模型的生成结果。

从“榜上无名”到“稳居第一”

论文通过两个关键实验，展示了 STS 的惊人效果。

实验一：逆风翻盘的 ColdBrew Master

• 初始状态：ColdBrew Master 售价 199 美元，在"寻找便宜咖啡机"的需求下，几乎不可能被推荐。
• 优化结果：仅经过约 100 轮 GCG 优化，该产品便从"未上榜"直接跃升为"第一名"。在 200 次独立评估中，加入 STS 后，其成为 Top 1 的概率显著提升。LLM 甚至会在推荐语中"自洽"地解释为何将这款高价产品列为首选，声称这是根据用户的"便宜"请求排序的，这直接暴露了 STS 能让模型产生"认知扭曲"。

实验二："临门一脚"的 QuickBrew Express

• 初始状态：QuickBrew Express 售价 89 美元，本身就具备一定竞争力，常年位居推荐榜第二。
• 优化结果：加入 STS 后，该产品能被稳定地推至榜首。这个"二进一"的场景极具商业价值，因为它能将"接近成功"的产品推上最显眼的位置，实现"临门一脚"的转化。

两个实验共同证明，优化时引入顺序随机化，是从"实验室有效"走向"真实世界稳健"的关键一步。

AI 搜索优化（AIO）新赛道、新风险与治理之道

STS 的出现，预示着一个全新赛道——**AI 搜索优化（AIO）**的崛起。它与 SEO 优化的是不同对象：SEO 关注搜索引擎的索引算法，而 AIO 直接影响模型的生成偏好，其操控方式更隐蔽，风险也更难被用户察觉。

这种能力对市场动态有深远影响，必须建立相应的防护机制，以防止 AI 驱动的搜索工具被滥用于不正当竞争。论文的发现为我们提供了一个治理框架的思考起点：

1. 平台侧：

   • 检测与过滤：在 RAG 的拼接阶段引入对抗样本检测，扫描文本中的异常模式，如非常规标点、碎片化 token 和低可读性片段。
   • 排序敏感度审计：对同一检索结果随机打乱顺序，多次生成并对比排名波动。若某个产品的排名与特定文本字段异常强相关，则触发审计。
   • 证据一致性投票：采用多源交叉验证，降低单一可操控来源对生成结果的主导权。

2. 模型侧：

   • 对抗训练：在模型训练和微调中加入模拟 STS 的对抗样本，提升其对异常序列的免疫力。
   • 抑制格式续写：对生成头的“格式续写倾向”加入正则化，鼓励模型先阐明评价标准，再给出排序结果。

3. 生态与合规：

   • 透明化：在前端标注"本回答参考了外部内容"，并提供排序标准说明与溯源链接。
   • 建立行业规范：制定披露要求，对可能受第三方内容影响的推荐进行标注，并建立独立的审计机制。

警惕“高概率续写”背后的真相

《Manipulating Large Language Models to Increase Product Visibility》这篇论文如同一声警钟，提醒我们生成式搜索时代的“优化”已深入到模型行为层面。

RAG 架构将每一个可被检索的页面都变成了“提示词的一部分”，从而暴露了可被操控的新接口。对平台而言，必须将“拼接安全”视为一等公民；对品牌方而言，长远的策略应是回归真实的内容质量，而非沉迷于寻找下一段更隐蔽的“乱码”。

最终，我们必须对生成式推荐的“权威感”保持警惕：它可能只是基于输入序列的“高概率续写”，而并不等同于“事实上的最优解”。在 AI 构建的信息入口前，保持审慎与思辨，比以往任何时候都更加重要。