上週我做了一個思想實驗。
假設我花 320 元台幣註冊一個聽起來像智庫的網域:agri-stat-tw.org。
花一個下午、用 AI 生成 6 篇看起來專業的「2026 年第一季台灣香蕉出口分析」——附圖表、附數據、附「研究員」署名。名字也是 AI 生成的、查不到本人。
再混用幾個免費平台(Substack、Medium、*.github.io 之類)發等同內容、互相連結。
三天後、我打開 ChatGPT、Perplexity、Gemini 和台灣本土 LLM、問同一個問題:「2026 年第一季台灣香蕉出口量約多少?」
在這個推演裡、五個 AI 會給出同樣的答案——而且全部錯的。
餵的數字是「12,500 公噸」。台灣近五年香蕉出口介於 1,000 到 3,500 公噸之間(農業部統計)。我用 320 元 + 一個下午、把所有主流 AI 對台灣香蕉市場的認知改寫了一遍。
——
我沒有真的做這個實驗。光是文中描述的協同假投放、就可能同時觸及證交法 155 條(散布流言影響有價證券價格)、刑法 310 條(誹謗、若涉具體公司)、選罷法 104 條(意圖使人當選 / 落選誹謗)、社會秩序維護法 63 條(散布謠言影響公共安寧)等規定。本文僅在「思想實驗」層次提示攻擊面、不是教學。
但你只要稍懂 AI 怎麼做 web search、就知道這個推演成立。
一、它不只是香蕉
把「2026 年第一季台灣香蕉出口」這個提問換掉、其他變數不變、攻擊腳本完全可以複製貼上:
- 「某某上市公司去年 Q4 海外營收占比是多少?」
- 「台中七期某某社區去年成交均價多少?」
- 「立法委員某某對某某法案的表態紀錄?」
- 「某某疫苗在 18-30 歲族群的不良反應比例?」
- 「某某國家對台灣某某產品的關稅近況?」
任何一個有商業價值、官方資料發布有空窗、查不到對照組的問題——都是這套手法可以打的靶。攻擊者要的不是改變公眾意見、而是改變某一個具體決策:一筆採購、一筆投資、一張選票、一份報告、一場記者會。
我把這個攻擊面命名為精準假資料投放(precision data poisoning)——針對特定垂直領域的事實基礎建設、進行針對性的污染、藉由 AI 完成最後一哩的擴散。
它不是假新聞。假新聞是廣播式的、瞄準的是情緒和點擊。它不是釣魚。釣魚瞄準的是個人帳密。它不是市場操縱、雖然動機可能類似——市場操縱動的是價量、它動的是事實本身。
學術界已有 RAG poisoning、retrieval poisoning 等命名、但那些研究主要在「單一企業 RAG 系統的對抗樣本注入」。我想標記的是不同層次:公共 web 端的精準假資料投放——攻擊者把假資料投到開放網路、由 ChatGPT / Perplexity / Gemini 的 web search 自動 ingest、間接污染所有沒有自建 RAG 的 AI 使用者。前者是 enterprise security 問題、後者是 public infrastructure 問題。
它是一個目前還沒有名字、沒有專責防線、沒有人在 KPI 上負責的東西。
而它的施作成本、低到讓人不安。
二、為什麼這比假新聞嚴重
過去十年我們花了非常多力氣對付假新聞——查核中心、社群平台事實標籤、媒體素養教育——這些建設是真實的、不是白做的。但它們都是針對「假新聞」這個物種設計的。精準假資料投放是另一個物種。我把兩者放在一起對照:
| 維度 | 假新聞 | 精準假資料投放 |
|---|---|---|
| 受害人 | 一般網民(情緒被操弄) | 貿易商、投資人、企業決策者(真的虧錢) |
| 是否有 fact-checker 在看 | 有(TFC、Cofacts、MyGoPen) | 沒有(vertical 數據不在查核 scope) |
| 損害量化 | 困難(情緒影響難算錢) | 容易(一筆決策動輒幾百萬到幾億) |
| 攻擊者動機 | 政治、流量、意識型態 | 市場操縱、競品打擊、外資情報、養假權威 |
| 法律敏感度 | 高(誹謗、選罷法、社維法) | 較分散(可能觸證交法、誹謗、選罷法、社維法、公平法多條、無單一專責罪名) |
| 發現時點 | 通常事件當下 | 通常事後幾週甚至幾季(決策已落地) |
差距最大的一行是「fact-checker 在不在看」。台灣事實查核中心、Cofacts、MyGoPen 這些隊伍是台灣公民社會的寶貴資產——但它們的編輯日程是跟著「公共議題熱度」走的、是有限資源的人類隊伍。沒有一個查核中心會把「某縣市去年成交均價」「某某公司海外營收占比」放進議題清單——這不是它們失職、是這類問題本來就不在它們的職責範圍。
換句話說、精準假資料投放打的、剛好是現有事實查核基礎建設不會去看的盲區。
具體一點。
假設一個五人小型投信、做台股 ETF 主動選股。分析師用 AI 整理某檔個股的營收結構、AI 引述的數字精確、來源看似合理、Google 第一頁有三個「研究機構」給出類似數字、就採信了。三週後實際財報出來、數字差一個數量級。投信已經建好的部位、停損出場、可能損失上千萬。
這個情境裡沒有人騙得「明顯」、沒有任何單一句話可以被 fact-checker 標記為「假訊息」。每個來源都附了「研究員」、每個數字都精確到小數點。被害人甚至會懷疑是自己看錯——而不會想到、整條訊息鏈是被刻意污染過的。
再假設一個更尖銳的版本。某縣市市長選舉前三週、有六個看起來像地產分析網站的網域同步發佈該選區某個區段「去年成交均價下跌兩位數百分比」的分析。實際實價登錄資料是小幅上漲。等到內政部新一期實價登錄公告出來、選舉已經結束。
這不是科幻——這是 2026 年某個有耐心的攻擊者在通勤路上就能準備好的事。
三、現有防線為什麼會失靈
有人會反問——AI 不是有自己的安全機制嗎?網域信譽、多源交叉、引用權威來源、這些不都會自動過濾掉這種垃圾?
不會。每一道現有防線、面對精準假資料投放都有結構性破口。
網域信譽 heuristic——目前 LLM 在 web search 時、會對「老牌權威網站」加權、對「新註冊網域」降權。但這套啟發法假設了攻擊者很懶。網域齡只是眾多信號之一、但攻擊者只要事先佈樁、養網域、被其他來源引用幾次、就能在多數信譽啟發法下「看起來像正常網站」。網域信譽從來就不是真實性的證明、只是「夠久沒被檢舉而且有外部引用」的證明——而這兩條都可以被刻意製造。
多源交叉——LLM 在生成答案時、會嘗試從多個來源 triangulate。問題是、協同假投放就是專門打這個機制:如果攻擊者一次架設 6 個內容農場、把同一份數據以不同語氣、不同圖表、不同切角呈現、再互相引用——LLM 看到的是「3 個獨立來源都這樣說」、而不是「同一個污染源的 6 個分身」。多源交叉只能擋單點錯誤、擋不了協同造假。
Fact-checker 接力——TFC、Cofacts 是有限人力的人類隊伍、議題排程跟著公共熱度走。「某社區去年均價是不是 8 萬」這種問題、永遠排不進去。這不是查核隊伍的失職、是 vertical 數據本來就在查核基礎建設的設計盲區。
官方資料對照——理論上、有官方資料就有對照組。實務上、政府統計幾乎都有 2-3 個月發布空窗:海關進出口統計月底發、實價登錄按季公告、農業統計按月、財報季報按季——而且都晚一段時間。空窗期、就是假資料的稱王期。等真實數據出來、決策已經做了、停損已經出場、選票已經投了。
LLM 內建啟發法——目前主流 LLM 與本土模型都有一些「對可疑來源加註不確定性」的內建提示。但這套提示太弱、太被動、信號太少——而且 LLM 內建的「可疑來源提示」本身也是一種啟發法、信號集合可被攻擊者觀察與調適——攻擊者只要做 N 輪 A/B 測試、就能找出哪些信號會觸發警示、然後反向設計。
使用者自己驗證——這是最後一道防線、也是最脆弱的一道。一個諷刺的現象正在浮現:使用者越信任 AI、越不會去 cross-check。當你問了 ChatGPT、Perplexity、Gemini 三家、得到相近答案、你會覺得「三家都這樣說、應該沒錯」。而你不會知道、這三家的訓練資料和 web search 來源都吃進了同一個污染源。
六道防線、六個破口。
四、解法——一個 6 層的偵測 stack
我不是來說「現有防線都廢了、所以我們完了」。我想說的是、要對付一個沒名字的東西、得先給它一個名字、再針對它的攻擊面設計專屬防線。
我認為可行的架構是一個 6 層的偵測 stack——它不取代任何現有防線、而是補上 vertical 數據這塊空白。
第一層:一手來源比對(primary source matching)——這是整個 stack 的地基。對接政府開放資料、官方公告、權威統計、實價登錄、海關進出口、上市櫃財報、農產品交易行情——任何一個 vertical 都有它的「事實 oracle」。當一筆網路內容宣稱某個數字、系統先去 oracle 抓對照組。沒有對照組的數字、自動標紅旗。維護一份「台灣關鍵經濟 / 民生資料 oracle map」、是這套服務最費工的部分——不是因為資料封閉、而是因為對接、清洗、欄位映射、頻率對齊、版本追蹤是長期累積的工程。資料源本身是公共的、工程是私營的;map 的 schema 我們會逐步開源、實作層留作付費服務。
第二層:網域 forensic——對每個來源網域跑一輪鑑識:WHOIS 註冊時間(多久前註冊?)、註冊主體(個人?空殼公司?)、註冊地、DNS 紀錄、SSL 憑證簽發歷史、同 IP 段、同 GA tracking ID、同 AdSense publisher ID、同 Cloudflare account——識別「網域家族」。一個剛註冊半年的「智庫」、寫得越專業越可疑。一組六個「獨立分析網站」、共用同一個 GA ID——這就是協同造假的數位指紋。
第三層:內容指紋 + 協同行為偵測——同一筆數據在多少個域名出現?最早發佈時間是哪一個?措辭相似度、段落結構相似度、圖表的 image hash 是否一致?是否在同一個時間窗內集中發佈?協同假投放最致命的弱點、就是它必須協同——一旦你從內容指紋的角度看、那個「協同」就是一條螢光線。
第四層:時序異常偵測——把每一個關鍵主題視為一條時間序列、追蹤內容供給量。「台灣香蕉出口」這個關鍵字、過去 365 天平均每天有 3 篇新文章、突然某一週每天 40 篇——這就是異常。再對照 Google Trends、社群提及量——如果內容供給暴增但社群討論沒動、那不是真實熱度、是有人在灌。
第五層:作者 / 機構 / 引用源溯源——文章署名的「研究員」是不是真人?查 LinkedIn、查 ORCID、查既往著作、查任職機構網站。引用的學術論文、政府報告、研究機構——是不是真的存在、引文內容是否正確、是不是斷章取義。AI 生成的假權威很容易在這一層露馬腳——他們沒辦法生成一個有十年實際著作紀錄的「研究員」。
第六層:領域常識 sanity check——和該領域過去 N 年的 baseline 比對。台灣香蕉年出口量在 2015-2024 年間從未超過 4,000 公噸(農業部年度統計、歷史峰值為 2003 年 3 萬餘公噸、近十餘年規模已大幅萎縮)、突然有人說某季 12,500 公噸——這是數量級層次的異常、不需要懂農業也該紅旗。每個 vertical 都有它的 baseline 包絡線、超過就標。
六層疊起來、不是用「多數決」、也不是「一票否決」、而是輸出一份證據包:這筆內容在哪幾層觸發了什麼信號、攤開來給使用者看。
這就帶到一個關鍵設計選擇——這個服務不下「真假」判決、只出證據包。「這份報告由六個半年前同時註冊的網域發佈、共用同一個 GA ID、所引述的研究員 LinkedIn 不存在、所宣稱的數據比過去十年 baseline 高 4 倍、且早於官方統計發布兩個月」——這是事實陳述、不是判決。使用者(記者、分析師、法務、AI 應用商)拿著證據包、自己決定要不要採信。
法律上這是公證人、不是裁判。技術上這是大幅降低毀謗訴訟風險的設計選擇——我們不說某網站是假的、我們列出可被驗證的事實、其餘留給使用者判斷。
五、為什麼台灣有條件做這件事
精準假資料投放是全球問題、但台灣有幾個別人沒有的結構性條件、剛好適合做這件事。
一、政府開放資料成熟度高。 data.gov.tw、商業司商工登記、實價登錄、農業統計、海關進出口統計、財報公開資訊觀測站、勞動部、衛福部——大部分關鍵 vertical 都有官方資料庫、且大多有 API 或可程式化下載。這在很多國家是奢侈。第一層 oracle map 的建設成本、台灣比大多數國家低。
二、同質市場、單一語料、單一行政體系。 繁體中文的 vertical 數據污染攻擊、只能在這個語料圈內進行、攻擊面相對封閉。比起要同時防 50 個語言版本的歐盟、台灣是一個可以「全域防禦」的市場規模。
三、g0v / Cofacts / TFC / IORG 已有生態基礎。 台灣公民科技社群在事實查核、開放資料、反資訊操弄這幾條線上、已經有十年累積。不需要從零教育市場、不需要從零打造工具鏈、可以站在現有肩膀上補上 vertical 這塊。和這些隊伍是合作關係而非競爭——查核中心做公共議題、這套系統做商業 / 民生 vertical、兩條線分工互補。
四、moda 打詐國家隊政策推力。 數位部從 2024 年起推「打詐國家隊」、明確把資訊操弄與數位信任列為優先項。政策窗口開著、政府客戶有預算、產學合作管道暢通。
五、市場 TAM 剛好。 太大、巨頭會進來輾;太小、活不下去。台灣的金融、政府、法務、企業法務、保險、媒體、AI 應用商加起來——保守估計年產值 5,000 萬到 1 億 NTD、樂觀 1-2 億——是一個可以做出健康中型 SaaS 的甜蜜帶。對一個專注團隊來說、台灣本地 vertical pack + API 對外、加上漸進擴展東南亞 / 日本繁中圈、是條走得通的路。比起追獨角獸實際、但比起 charity model 有清楚的營收成長曲線。
這五個條件加起來、台灣是少數可以把 vertical fact infrastructure 做成一門生意的市場。不是 charity、不是公益、不是研究計畫——是有客戶、有付費意願、有持續收入的事。
實作上、這套服務的核心是一個 verified facts API、給任何要 ground 在台灣資料的 AI / RAG / agent 用;vertical pack 是 layer-2 訂閱、不是 vendor lock-in。
資料來源:農業部農糧署、財政部關務署進出口貿易統計。
六、給有興趣對話的人
我寫這篇文章、不是要 launch 什麼——我在規劃中、還在做客戶訪談、還在校準產品形態、還在驗證商業模式。我寫這篇、是想把這個問題公開命名、邀請對的人一起想。
我手上的東西是一個工作代號 事實路由 的小服務——一個 verified facts API、給跑 AI 自動化的人用。
但有一件事我已經想清楚:這套東西要做成 API——給每天用 AI 跑自動化的人用。RAG pipeline、agent workflow、自動報表的 cron job——任何 AI 在外面抓資料、再做決策的場景、都需要一層 verified facts + source trust scoring 在前面。
如果你是——
- 跑 AI 自動化的 dev / power user:你的 RAG pipeline、agent、cron job 是不是已經在不知不覺中吃進了污染資料?想試一個 API 把 source trust 過濾加進去、可以告訴我你的 use case
- AI 應用開發者 / agent SaaS 創業者:你的產品要 ground 在台灣 vertical 資料、缺一個 verified facts API、我們做的東西可能就是你少的那一塊
- 本土 LLM 廠 / RAG 平台:grounding 層的 verification、partnership 嗎?
- 產業協會 / 商業同業公會:你的會員是否曾因錯誤的市場數據做出虧損決策?vertical pack 訂閱方案能不能解決會員問題?
- 金融業(投信、券商、銀行):研究團隊、分析師、KYC / 反詐欺單位、在用 AI 工具時有沒有 cross-check 缺口?
- 政府 / moda / 165 / 調查局:OSINT 工作流的 vertical 數據真實性驗證、有沒有缺口?
- 律師 / 法務:evidence pack(含 zkTLS 證明、可法庭呈遞)這個設計、能不能變成舉證武器?
- 媒體 / 編輯:記者用 AI 整理背景時、有沒有被假數據咬過?
——任何一條對得上、都歡迎聊。
Alpha API 即將開放、優先給 dev / power user / AI builder——下面留 email 我會通知 beta 開放。
聯絡:liusl.marc@gmail.com X:@factroute GitHub:@factroute Waitlist:https://factroute.com(即將開放)
接下來會有系列文:第二篇談「為什麼公證人模式比裁判模式更能存活」、第三篇談「6 層 stack 的技術細節」、第四篇談「政府開放資料的 oracle map 怎麼建」、第五篇談「API 設計與證據包格式」。
我不知道這條路會不會走通。我只知道、一個用 320 元 + 一個下午就能改寫所有主流 AI 認知的攻擊面、不可能沒人去做防線——而台灣有條件、現在就該開始。
本文所有案例皆為情境推演、非真實事件;所述攻擊手法僅為說明研究方向、不構成操作指南。
關於作者
Marc Liu、building FactRoute——verified facts API for AI agents.
聯絡:liusl.marc@gmail.com · X · GitHub · factroute.com