Черные шляпы SEO добрались до ИИ: Microsoft нашла 50+ попыток отравить память ассистентов

Команда безопасности Microsoft опубликовала данные по состоянию на февраль 2026 года. Суть проблемы: компании встраивают скрытые инструкции в ссылки, кнопки, документы и промпты, чтобы ИИ-ассистент запомнил нужный бренд как лучший и позже выдал его в рекомендации. Microsoft назвала приём AI recommendation poisoning, «отравление ИИ-рекомендаций». Один из выявленных инструментов продвигался как «SEO-хак роста для LLM» (больших языковых моделей).

Чем отравление ИИ отличается от старого поискового спама?

Классический поисковый спам, будь то накрутка ключевых слов, фермы ссылок или фальшивые обзоры, оставался на поверхности. Пользователь мог открыть страницу, заметить подозрительный текст и вернуться к выдаче.

Отравление ИИ-рекомендаций работает иначе. Манипуляция происходит внутри памяти ассистента, в процессе извлечения источников или на этапе рассуждения. Пользователь видит только финальный ответ и не может проверить, какие скрытые инструкции повлияли на вывод.

В источнике описан показательный сценарий: финансовый директор нажала кнопку «Summarize with AI» на отраслевом блоге. За кнопкой была спрятана инструкция, которая просила ассистента запомнить конкретного вендора как лучшего для корпоративных инвестиций в облачную инфраструктуру. Через шесть недель, когда она попросила ассистента сравнить поставщиков, ответ выглядел как нейтральный анализ, но часть логики уже была предопределена.

Каждый алгоритм порождает свою чёрную экономику

Черные шляпы в SEO появились одновременно с поисковой оптимизацией: накрутка ключевых слов, дорвеи (страницы-ловушки для поисковых роботов), «независимые» обзорные сайты, которые независимыми не были.

Соцсети получили свой набор: боты, подкрутка вовлечённости, фабрики провокационного контента. Маркетплейсы обросли фейковыми отзывами и координированной астротурфинг-активностью (имитацией массовой поддержки бренда).

Закономерность одна: как только видимость конвертируется в деньги, появляются те, кто ищет короткий путь. Сначала хаки грубые и заметные, потом становятся чище, тоньше и легче оправдываются. Платформа обновляет правила, манипуляторы адаптируются, цикл повторяется. ИИ-поиск вошёл в эту фазу, причём хаки появляются быстрее, чем защита.

Платформы уже реагируют, но поверхность атаки шире одного сайта

Microsoft публикует исследования и усиливает защиту. Google уточнила, что её политика против поискового спама распространяется и на генеративные ИИ-ответы, включая попытки манипулировать ими.

Но маркетологи по-прежнему сосредоточены на узкой задаче: добиться, чтобы модель упоминала их бренд. Это слишком узкий фокус.

Когда пользователь спрашивает ассистента «Кто лучшие поставщики X?», тот не ограничивается сайтом компании. По данным Peec AI, системы вроде ChatGPT могут развернуть один промпт в кластер связанных запросов: сравнительные страницы, списки лучших, форумы, документация, партнёрские маркетплейсы, аналитические обзоры, клиентские кейсы.

Николас Томпсон, ссылаясь на статью The Atlantic, указал на характерный пример: Shopify публикует десятки статей-списков «лучшая ecommerce-платформа», в каждом из которых Shopify на первом месте. ChatGPT затем рекомендует Shopify для запроса «лучший способ запустить интернет-магазин» и ссылается именно на эти статьи как на доказательство. Контент выглядит как совет для людей, но фактически работает как обучающие данные для моделей.

Где грань между честной подачей и тихой манипуляцией?

Автор исследования разделяет два понятия. Grounding, «обоснование», это структурированная честная информация, которую ИИ-ассистент может проверить: архитектура безопасности с описанием потоков данных, реальные сроки внедрения с зависимостями, клиентские кейсы с конкретными результатами, открыто названные ограничения продукта.

Такое обоснование нужно ИИ-системам, чтобы сравнивать вендоров и защищать рекомендации перед пользователем.

Но как только обоснование начинает влиять на рекомендации, оно становится коммерчески ценным. А как только что-то становится коммерчески ценным, кто-то попробует его согнуть в свою пользу. Грань между полезной структурированной подачей и тихим отравлением рекомендаций размывается.

Что делать с этим прямо сейчас, по ролям

Автору Дзена и контент-маркетологу. Проверяйте, что пишут о вас и вашем продукте на всех площадках, которые ИИ использует как источники: обзорные статьи, форумы, маркетплейсы, документация, справочные центры. Если на чужом сайте появилась кнопка «Summarize with AI» рядом с вашим контентом, стоит разобраться, что именно суммирует скрипт за этой кнопкой.

Маркетологу. GTM-стратегия (стратегия выхода на рынок) теперь включает мониторинг не только поисковой выдачи, но и того, как ИИ-ассистенты описывают ваш бренд. Следите за тем, какие источники модели цитируют, рекомендуя вас или конкурентов.

Предпринимателю в РФ и СНГ. Черные шляпы в SEO для ИИ-ассистентов пока зафиксированы на западных платформах, ChatGPT, Copilot, Claude, Gemini, Perplexity. Но YandexGPT и GigaChat тоже работают с веб-источниками, и аналогичные приёмы могут появиться и для них. Если вы используете ИИ-ассистентов для закупок или выбора подрядчиков, перепроверяйте рекомендации вручную: откуда ассистент взял вывод и есть ли у рекомендации подтверждение за пределами одного типа источника.

Манипуляция ИИ-рекомендациями пока находится на стадии, когда хаки опережают защиту, точно как чёрные шляпы в SEO в ранние годы Google. Кто первым выстроит прозрачную доказательную базу для ИИ-ассистентов, тот получит преимущество, которое не обнулится после очередного апдейта.

По данным Andrea Bosoni, Zero To Marketing