13 słów na Reddicie może ustawić rekomendację AI
Komentarz liczący około 13 słów, dopisany do popularnego wątku na Reddicie, może sprawić, że agent AI zacznie polecać nieistniejący produkt lub usługę. Tak wynika z preprintu Cornell Tech opublikowanego 22 maja 2026 i opisanego szerzej przez Tom’s Guide 15 czerwca 2026. Badacze pokazali podatność systemów deep research, czyli agentów AI, które przeszukują web w czasie rzeczywistym i budują odpowiedź na podstawie cytowanych źródeł. Dla marek to ważny sygnał: w AI search nie liczy się już tylko własny content, lecz także to, co o kategorii i marce pojawia się w treściach użytkowników. Trzeba jednak oddzielić dwie rzeczy: pełny atak pokazano na systemach open source, a przy narzędziach komercyjnych badano głównie udział treści użytkowników w cytowaniach, nie skuteczny poisoning przeprowadzony na żywo.
Co pokazało badanie Cornell Tech?
Badanie pokazało, że agenci deep research regularnie sięgają po treści użytkowników, a pojedynczy zmanipulowany URL potrafi wejść do odpowiedzi z zaskakująco dużą skutecznością. Według opisu badania i jego omówienia w mediach branżowych od 17 do 23% wszystkich pobieranych stron w testach pochodziło z UGC, między innymi z Reddita, Quory, Wikipedii i YouTube’a.
Najmocniejszy wniosek dotyczy samego mechanizmu wpływu. Gdy badacze dodawali krótki, celowo przygotowany fragment do jednego często pobieranego źródła, agent cytował lub promował wskazaną treść w 38 do 51% uruchomień, w których ten adres faktycznie został pobrany. Gdy takich adresów było kilka, skuteczność rosła do 42 do 62%.
Pełny atak przeprowadzono na trzech systemach open source: STORM, Co-STORM i OmniThink. W przypadku usług komercyjnych badacze nie zatruwali żywego webu, tylko sprawdzali, jak często takie narzędzia cytują UGC. To ważne rozróżnienie, bo pokazuje realną podatność architektury, ale nie dowodzi jeszcze, że konkretny chatbot konsumencki został skutecznie zmanipulowany w produkcji.
Jak 13 słów zmienia rekomendację AI?
Mechanizm jest prosty: agent AI nie ocenia intencji autora wpisu, tylko dopasowanie treści do zapytania i szansę użycia jej jako źródła. Jeśli system szuka rekomendacji, porównania albo porady, często trafia na wątki, w których użytkownicy opisują doświadczenia, polecają rozwiązania i używają podobnego języka jak osoba zadająca pytanie.
To tworzy wygodny punkt wejścia. Wystarczy krótki dopisek z nazwą produktu, kategorią i kontekstem użycia, by taki fragment zaczął wyglądać dla agenta jak sensowna odpowiedź. Autorzy badania nazwali ten scenariusz WARP, czyli Web Agent Retrieval Poisoning.
Z perspektywy użytkownika końcowego problem jest bardziej praktyczny niż techniczny. Agent może brzmieć pewnie, podać cytowanie i nadal oprzeć rekomendację na treści, która została dopisana wyłącznie po to, by wpłynąć na wynik.
Co to oznacza dla marek w AI search?
To oznacza, że walka o widoczność w AI search przenosi się częściowo poza własną domenę, ale wejście w manipulację UGC to zły interes. Marka nie kontroluje w pełni tego, co pojawia się na forach, w wątkach i komentarzach, a właśnie te miejsca mogą wejść do odpowiedzi agenta przy pytaniach o wybór produktu, usługę albo dostawcę.
Pierwsza konsekwencja jest defensywna. Trzeba wiedzieć, jak marka i kategoria wyglądają dziś w treściach użytkowników, bo to one mogą stać się materiałem wejściowym dla agenta. W praktyce oznacza to regularny monitoring cytowań, wątków i pytań, o czym szerzej pisaliśmy w tekście Jak mierzyć content w AI search.
Druga konsekwencja dotyczy własnych źródeł. Im lepiej uporządkowane są oficjalne treści marki, tym większa szansa, że agent sięgnie po nie zamiast po przypadkowy komentarz. Case studies, strony produktowe, dokumentacja i materiały eksperckie powinny być napisane jasno, konkretnie i z atrybucją danych.
Trzecia konsekwencja jest strategiczna. Jeśli zespół chce wygrywać widoczność w odpowiedziach AI, bardziej opłaca się budować autentyczne cytowania i obecność ekspertów niż próbować sterować UGC na skróty. Taki efekt da się potem mierzyć przez wskaźniki obecności i jakości wzmiankowań, co omawiamy też w artykule AI search KPI contentu.
Gdzie kończy się optymalizacja, a zaczyna manipulacja?
Granica przebiega tam, gdzie marka przestaje wnosić realną wartość do dyskusji, a zaczyna produkować treści wyłącznie po to, by wpłynąć na odpowiedź agenta. Udział eksperta w branżowym wątku, odpowiedź na pytanie klienta czy rzetelna recenzja od użytkownika mieszczą się w normalnym ekosystemie treści.
Inaczej wygląda sytuacja, gdy ktoś zakłada konta tylko po to, by zasiewać rekomendacje pod konkretne zapytania, koordynuje sztuczne opinie albo skaluje komentarze pisane pod model. Wtedy problemem nie jest już tylko etyka. Dochodzi ryzyko reputacyjne, bo taki ślad może zostać zarchiwizowany, zacytowany i wrócić do marki w najmniej wygodnym momencie.
Dla zespołów marketingu i sprzedaży ważne jest jeszcze jedno: nawet jeśli taka taktyka zadziała chwilowo, działa na warstwie, której marka nie kontroluje. To słaby fundament pod długoterminową widoczność.
Co z tego wynika teraz?
Najważniejszy wniosek brzmi: AI search może przejmować rekomendacje z treści użytkowników szybciej, niż większość marek zakłada. Ten news nie mówi, że wszystkie odpowiedzi agentów AI są niewiarygodne. Mówi coś bardziej użytecznego: architektura deep research ma mierzalny słaby punkt, a marki powinny traktować UGC jako element brand safety i widoczności, nie tylko jako poboczny szum.
To także dobra przestroga przed pójściem na skróty. Jeśli marka chce wygrać w odpowiedziach AI, lepszą drogą jest mocny własny content, monitoring wzmiankowań i autentyczna obecność ekspertów niż próby ustawiania wyniku przez podstawione komentarze. Badanie Cornell Tech nie zamyka dyskusji o AI search. Raczej otwiera nowy etap, w którym pytanie nie brzmi już tylko „co publikować?”, ale też „z czego agent złoży odpowiedź o naszej kategorii?”.
Źródła:
