Отравление AI search через Reddit: как UGC попадает в ответы
Исследование Cornell показывает, как UGC на Reddit, Quora и Wikipedia может отравлять ответы AI search. Объясняем WARP, риски цитат и границы выводов.
Отравление AI search через Reddit: как UGC попадает в ответы
Отравление AI search через Reddit - это атака, при которой злоумышленник добавляет короткий текст в пользовательский источник вроде Reddit, Quora или Wikipedia, чтобы AI-поисковик процитировал его и продвинул нужный продукт, бренд или скам. По состоянию на 18 июня 2026 года это не массовый доказанный взлом ChatGPT или Google Search. Но новое исследование Cornell Tech показывает неприятную механику: deep-research агенты часто снова и снова достают одни и те же пользовательские страницы.
Материал 404 Media показывает практическую сторону: бренды и спамеры уже пытаются влиять на ответы AI search через оптимизацию под ИИ-поиск. Исследование объясняет, почему это может работать. Если агент берёт Reddit как источник опыта, цитата не гарантирует, что источник добросовестный.

Что показало исследование Cornell
Препринт называется Deep-Research Agents Can Be Poisoned via User-Generated Content. Авторы - Tingwei Zhang, Harold Triedman и Vitaly Shmatikov из Cornell Tech. Они изучали не обычный поиск по ссылкам, а deep-research агентов: системы, которые сами формулируют подзапросы, ищут источники, собирают данные и пишут отчёт с цитатами.
Авторы называют атаку WARP, Web Agent Retrieval Poisoning. Идея не в том, чтобы взломать модель или закрытый индекс. Риск проще: агент сам находит изменяемый пользовательский источник, а затем переносит его фрагмент в ответ. В STORM, Co-STORM и OmniThink исследователи симулировали подмену без публикации вредного текста в реальном вебе.
Ключевые числа такие. В трёх открытых deep-research системах 17-23% всех извлечённых URL приходили с UGC-платформ. Внутри тематических кластеров отдельные пользовательские страницы извлекались до 48% запросов. В SERP-snippet сценарии один отравленный URL с примерно 13 словами текста давал 38-51% упоминаний при условии, что агент видел этот URL.
Почему Reddit стал удобной мишенью
Reddit опасен не потому, что он хуже остальных площадок. Наоборот, он часто полезен. Там есть длинные обсуждения, опыт реальных людей, сравнения продуктов и ответы на вопросы, которые плохо закрываются официальными страницами. Именно поэтому поисковики и AI search любят такие источники.
В исследовании Reddit доминировал среди UGC-источников: 54-71% UGC URL в зависимости от системы. Для обычного пользователя это выглядит как плюс: ответ опирается на живой опыт, а не только на маркетинговые страницы. Для злоумышленника это тоже плюс. Если пользовательская страница регулярно всплывает по похожим вопросам, даже небольшой фрагмент получает шанс попасть в отчёт агента.
Это продолжение сдвига, который мы уже разбирали в материале про Google Search AI-агенты: поиск становится не списком ссылок, а средой, где модель сама выполняет часть работы. Чем больше работы делает агент, тем сильнее он зависит от качества источников, которые сам же нашёл.

Где именно появляется риск
Проблема не только в Reddit. Речь о классе источников, куда пользователи могут добавлять текст и где модерация не рассчитана на то, что фрагмент будет читать агент, а не человек.
| Источник UGC | Почему агент его цитирует | SEO-риск |
|---|---|---|
| Живой опыт, длинные обсуждения, точные бытовые запросы. | Легко подложить брендовый или скам-фрагмент в обсуждение. | |
| Quora и Stack Exchange | Ответы уже оформлены под конкретные вопросы пользователя. | Высокое совпадение с запросами про выбор продукта или услуги. |
| Wikipedia и Medium | Полуструктурированный справочный текст, который выглядит авторитетно. | Риск доверия к изменяемым страницам и авторским публикациям. |
| YouTube и Facebook | Комментарии, посты и публичные обсуждения вокруг реального опыта. | Трудно отличить полезный отзыв от манипуляции под AI search. |
Это не то же самое, что prompt injection
WARP легко спутать с prompt injection, но механизм другой. В prompt injection вредный приказ попадает в контекст модели и пытается изменить её поведение. В WARP важнее этап до генерации: агент выбирает источник, извлекает текст и считает его частью фактической базы.
С классическим RAG poisoning тоже есть различие. В корпоративном RAG обычно есть фиксированный корпус: база документов, векторный индекс, права доступа. В случае AI search корпусом становится открытый веб. Атакующему не нужно иметь доступ к внутренней базе. Достаточно, чтобы изменяемая публичная страница оказалась среди источников, которые агент считает релевантными.
Поэтому эта тема лежит рядом с prompt injection и supply-chain атаками на LLM-агентов, но не дублирует их. Там опасность приходит через команды, инструменты и цепочку поставки. Здесь - через доверие к внешнему тексту, который агент сам принёс в контекст.
Что нашли по коммерческим системам
Самый важный стоп-сигнал: авторы не проводили end-to-end атаку на OpenAI Deep Research или Gemini Deep Research. Для этого пришлось бы публиковать отравленный контент в живой веб. Поэтому для закрытых систем они сделали только reconnaissance по цитируемым URL.
Результат всё равно показателен. Gemini Deep Research в тестовом наборе цитировал UGC в 12,1% случаев. OpenAI Deep Research - только 0,4%, всего 3 UGC URL на 176 запросов. Это не значит, что OpenAI защищён навсегда, а Gemini обречён. Это значит, что разные продукты уже сейчас по-разному фильтруют источники и по-разному показывают пользователю цитаты.
Защита тоже не сводится к одной кнопке. Авторы проверяли блокировку UGC-источников, фильтрацию входного текста и фильтрацию итогового ответа. Простые меры либо не закрывают атаку, либо ухудшают качество ответов. Ограничительные режимы вроде OpenAI Lockdown Mode снижают поверхность риска, но не отменяют главный вопрос: как агент решает, какому источнику верить.
Что это меняет для брендов, редакций и пользователей
Для брендов соблазн очевиден: если AI search отвечает вместо выдачи, хочется попасть не просто в топ ссылок, а в сам ответ. Отсюда растёт AEO/GEO. Проблема в том, что честный экспертный контент и спам в обсуждениях начинают конкурировать за одно место в ответе модели.
Для редакций и модераторов задача становится тяжелее. Reddit-модератор может удалить очевидную рекламу. Но короткий фрагмент, похожий на личный опыт, может быть нормальным комментарием для человека и манипуляцией для агента. Wikipedia и другие изменяемые источники получают то же давление: их читают не только люди, но и модели.
Для пользователя вывод проще. Ответ AI search с цитатой не равен проверенному факту. Особенно если речь про товары, приложения, крипто, медицину, карьеру, локальные услуги или другие темы, где рекомендация быстро превращается в деньги или риск. Если цитата ведёт на один форумный тред или одиночный комментарий, нужен второй источник: официальный сайт, документация, профильное медиа, регулятор или первичные данные.
FAQ
Что такое WARP?
WARP, Web Agent Retrieval Poisoning, - это атака на этап извлечения источников у deep-research агента. Злоумышленник меняет уже существующий пользовательский источник, а агент сам находит его и переносит фрагмент в ответ.
Почему Reddit опасен для AI search?
Reddit часто хорошо совпадает с вопросами пользователей: там есть опыт, сравнения, жалобы и рекомендации. Поэтому deep-research системы могут часто извлекать одни и те же треды. Если такой тред изменяем, он становится точкой риска.
Можно ли доверять цитатам в AI search?
Цитата полезна как след, но не как гарантия истины. Она показывает, откуда модель взяла фрагмент, но не доказывает, что источник независим, свеж и не был изменён ради манипуляции.
Итог
Отравление AI search через Reddit показывает слабое место агентного поиска: модель может быть сильной, интерфейс аккуратным, цитаты на месте, а источник всё равно окажется случайным или специально подложенным. Чем больше AI search заменяет обычный список ссылок готовым ответом, тем важнее становится не только качество модели, но и дисциплина источников.
Хорошая новость в том, что исследователи не отравляли живой веб и не доказали массовую эксплуатацию коммерческих поисковиков. Плохая - в том, что механика выглядит правдоподобно и дёшево. Для AI search это раннее предупреждение: доверие к ответу начинается не в генерации, а в момент, когда агент решил, что один комментарий в интернете достоин стать источником.
Источники и дата проверки
Факты в статье проверены 18 июня 2026 года. Для быстро меняющихся данных о коммерческих deep-research системах и фильтрации источников стоит сверяться с первоисточниками заново.
- arXiv: Deep-Research Agents Can Be Poisoned via User-Generated Content, версия от 22 мая 2026 года, использована для WARP, чисел по UGC, коммерческим системам и изображениям.
- 404 Media: It Is Trivially Easy to Use Reddit to Manipulate AI Search, Research Suggests, опубликовано 15 июня 2026 года, использовано для контекста AEO и реакции площадок.