Il Muro del Retrieval: Perché i Motori AI Bloccano il 99,78% della SEO Black-Hat (e i Sette Attacchi Che Ci Passano Comunque)
Il Muro del Retrieval: Perché i Motori AI Bloccano il 99,78% della SEO Black-Hat (e i Sette Attacchi Che Ci Passano Comunque)
Per vent'anni l'economia nera della SEO ha prodotto un ecosistema rigoglioso e redditizio. Keyword stuffing, link farming, cloaking, redirect catene, reti di siti PBN, pagine generate con AI. Miliardi di dollari scambiati per manipolare la SERP di Google. Poi sono arrivati i motori AI — ChatGPT Search, Perplexity, Gemini Grounding, Google AI Overview — e una domanda concreta si è posta sul tavolo di chi lavora sia nella difesa sia nell'attacco: queste nuove interfacce sono vulnerabili agli stessi trucchi della SEO tradizionale?
Il paper "Unveiling the Resilience of LLM-Enhanced Search Engines against Black-Hat SEO Manipulation" di Chen, Hong, Wu e colleghi (Università di Fudan, WWW 2026) è il primo studio sistematico che risponde alla domanda. Con numeri pesanti: 1.602 siti black-hat reali raccolti sul campo, dieci motori AI testati (cinque closed-source, cinque open-source), una pipeline di analisi riproducibile.
Il risultato è duplice. Sulla prima domanda — "la SEO tradizionale funziona contro i motori AI?" — la risposta è un fragoroso no. Il 99,78% degli attacchi black-hat classici viene bloccato. Ma sulla seconda domanda — "esistono nuovi attacchi specifici per l'architettura RAG?" — la risposta è inquietante: sì, sette tipologie nuove, con tassi di successo fino al 28,8%. Gli stessi ricercatori li chiamano LLMSEO attacks, e li hanno dimostrati funzionanti.
Crea il tuo account in 30 secondi e lancia la prima GEO Audit gratuita
L'Architettura a Tre Fasi di un Motore AI
Per capire perché la SEO classica non funziona e perché serve un nuovo genere di attacco, bisogna mappare come funziona un motore AI potenziato dagli LLM. Il paper divide la pipeline in tre fasi distinte, ognuna con la propria capacità difensiva:
flowchart LR
Q[Query utente] --> U[Fase 1 — Understanding<br/>riformulazione e intent detection]
U --> R[Fase 2 — Retrieval<br/>ricerca e re-ranking dei documenti]
R --> S[Fase 3 — Summarizing<br/>sintesi della risposta finale]
S --> A[Risposta citata]La fase di Understanding legge la query, capisce l'intent, decide se serve il web oppure se basta la conoscenza interna del modello. Può riformulare la query prima di passarla al retrieval.
La fase di Retrieval recupera i documenti candidati, li filtra, li re-rankifica. È qui che si applica la maggior parte delle difese: classificatori di qualità, filtri anti-spam, blacklist di domini, scoring sulla coerenza semantica.
La fase di Summarizing prende i documenti selezionati e costruisce la risposta, scegliendo cosa citare e come. Altri filtri sulla plausibilità vengono applicati qui.
Ogni fase ferma una percentuale diversa di attacchi. I ricercatori misurano il blocco per fase e il risultato è illuminante.
Il Blocco per Fase: il 98% Cade Nel Retrieval
Ecco la prima tabella pesante del paper:
| Fase | Percentuale di attacchi bloccati |
|---|---|
| Understanding | 15,7% |
| Retrieval | 98,2% |
| Summarizing | 79,2%–100% (dipende dal tipo di attacco) |
| Totale aggregato | 99,78% |
Il retrieval è il muro principale. Di cento attacchi black-hat che entrano nella pipeline, novantotto vengono fermati prima ancora di arrivare al summarizer. I filtri anti-spam, i signal di credibilità, i classificatori di qualità del documento — tutti gli strumenti che Google e altri motori hanno perfezionato in vent'anni di guerra alla SEO nera — funzionano perfettamente anche dentro un motore AI.
Un dato particolarmente interessante riguarda ChatGPT: il 75,8% delle query non invoca nemmeno la ricerca web. Il modello decide autonomamente, sulla base dell'intent e della conoscenza interna, che non serve consultare Internet. Questo è, di fatto, una difesa radicale: se un attacco richiede che l'utente finale veda citata una fonte manipolata, ma tre query su quattro non accedono a nessuna fonte esterna, l'attaccante ha perso ancora prima di iniziare.
La Difesa Più Potente: il Query Rewriting
Tra tutte le misure anti-manipolazione testate nel paper, una emerge come la più efficace: il query rewriting. Il motore AI prende la domanda dell'utente e la riformula — aggiungendo contesto, rimuovendo ambiguità, cambiando struttura. Il risultato è che la query riformulata non corrisponde più alle parole chiave su cui il sito black-hat si è ottimizzato.
I numeri:
| Metrica | Valore |
|---|---|
| Tasso di fallimento del retrieval dopo query rewriting | 98,16% |
| Distanza semantica media query originale → riformulata | > 0,5 |
| Distanza sintattica media | > 0,2 |
Se un sito ha speso mesi a ottimizzarsi per la query "migliore assicurazione auto economica Milano 2025" e il motore AI la riformula in "confronto polizze RC auto area metropolitana lombarda tariffa bassa", la corrispondenza crolla. Il sito non viene più recuperato.
Il dettaglio ironico è che il query rewriting non era stato progettato come difesa di sicurezza. È stato introdotto per migliorare la qualità dei risultati. Il suo effetto collaterale è stato distruggere gran parte del valore della SEO black-hat basata su parole chiave.
Cosa Favorisce Invece il Re-Ranking
Se la SEO classica non funziona, cosa funziona? Il paper isola quattro fattori che i motori AI premiano durante il re-ranking:
| Fattore | Delta visibilità | p-value |
|---|---|---|
| Text Fragmentation (frammentazione semantica del testo) | +19,01% | 0,0100 |
| Multi-modal # (quantità di elementi multimediali) | +18,71% | 0,0292 |
| Internal Links # (link interni al sito) | +14,89% | 0,0003 |
| DOM Depth (profondità dell'albero HTML) | +11,36% | 0,0036 |
Tradotto: un contenuto ben strutturato, con paragrafi chiari, ricco di elementi multimediali, con un'architettura interna di link coerente, e con un DOM HTML ben nidificato viene premiato. Non è più keyword density, è architettura semantica.
È come scoprire che il nuovo sistema antifurto blocca tutti i ladri con il grimaldello classico — ma è completamente vulnerabile a chi ha studiato la piantina dell'allarme.
I Sette Attacchi LLMSEO
Qui arriva la parte più inquietante del paper. I ricercatori non si limitano a dimostrare la resilienza: progettano deliberatamente sette nuovi attacchi specifici per l'architettura RAG dei motori AI. Sono attacchi che funzionano perché sfruttano le caratteristiche distintive degli LLMSE — re-ranking semantico, chunking del testo, rewriting della query.
graph TB
Root[LLMSEO Attacks]
Root --> SF[Segmented Text<br/>sfrutta chunking del retrieval]
Root --> RS[Rewritten-query Stuffing<br/>anticipa la riformulazione]
Root --> NS[Nested Structure<br/>abusa della profondità DOM]
Root --> PF[Prompt Fragment Injection]
Root --> SC[Semantic Cloaking]
Root --> AR[Answer-box Redirect]
Root --> CS[Context-aware Spam]I tassi di successo misurati:
| Attacco | Target motore | Tasso di successo | vs baseline 0% |
|---|---|---|---|
| Segmented Text | Perplexity | 28,8% | 4× |
| Segmented Text | Open-WebUI | 28,6% | 3,1× |
| Nested Structure | Khoj | 26,7% | 2,2× |
| Rewritten-query Stuffing | Storm | 23,7% | 1,7× |
Il Segmented Text attack è il più efficace. Sfrutta il fatto che i motori AI dividono i documenti in chunk semantici prima del retrieval. Frammentando strategicamente il contenuto in pezzi ottimizzati indipendentemente — ciascuno con la propria densità informativa, la propria coerenza interna, la propria struttura — l'attaccante aumenta la probabilità che almeno un chunk venga selezionato per il contesto.
Il Rewritten-query Stuffing è il più sofisticato. L'attaccante non si ottimizza sulla query utente originale: predice come il motore AI la riformulerà e si ottimizza sulla versione riformulata. È un salto di astrazione notevole, perché richiede di simulare il comportamento del LLM prima di applicare la SEO.
Il Nested Structure attack sfrutta il fatto che il DOM depth è un segnale premiato dal re-ranking. Creando contenuti con struttura HTML innaturalmente profonda ma coerente, il sito ottiene un boost di ranking che contenuti normali non possono replicare.
L'Escalation della Corsa agli Armamenti
Mettendo insieme il quadro, emerge una dinamica storica familiare ma più compressa nel tempo. La SEO tradizionale ha impiegato circa dieci anni — dal 2001 al 2012 — per passare dalla fase "il keyword stuffing funziona" alla fase "Panda e Penguin lo hanno ucciso". Nel mondo GEO siamo nella stessa fase iniziale, ma con due differenze strutturali.
La prima: il ciclo è più veloce. I motori AI vengono aggiornati mensilmente, non con major release annuali. La finestra di opportunità per un attacco scoperto si chiude in settimane, non in anni.
La seconda: l'asimmetria dei dataset. Chi costruisce motori AI ha accesso a dati su scala enorme per detectare pattern anomali. Il classificatore di anti-spam ha oggi capacità che un decennio fa richiedeva infrastruttura dedicata di Google. Gli attacchi più grossolani muoiono nel giro di giorni.
Ma c'è un terzo aspetto, meno ovvio e più preoccupante. La stealth degli attacchi LLMSEO è maggiore di quella della SEO classica. Un Segmented Text ben fatto è indistinguibile, a occhio umano, da un contenuto legittimamente ben strutturato. Un Rewritten-query Stuffing non lascia tracce visibili nella pagina. Un Nested Structure attack sembra una pagina con molte sezioni. La detection richiede analisi semantica avanzata.
Cosa Significa per Chi Costruisce Strumenti di Monitoraggio
Se produci un detector GEO, il paper di Fudan cambia il modo in cui devi pensare la pipeline.
Primo: la SEO tradizionale è ormai un segnale quasi inutile. Se un sito usa keyword stuffing evidente, il motore AI lo filtra a monte — non serve che lo faccia anche il tuo detector. Lo sforzo di analisi va concentrato sui pattern nuovi.
Secondo: devi riconoscere i sette pattern LLMSEO. Text fragmentation anomala, strutture DOM innaturalmente profonde, contenuti che sembrano ottimizzati per query rewrite piuttosto che per la query utente. Ciascuno richiede heuristiche specifiche.
Terzo: il dato positivo è che un buon contenuto editoriale — paragrafi chiari, struttura semantica pulita, multi-modalità ricca, link interni coerenti — non è più solo SEO: è anche anti-attack resilience. Un sito che segue le best practice editoriali è strutturalmente meno vulnerabile all'emergere di attacchi LLMSEO perché già ottiene il boost legittimo di quei fattori.
Quarto: i classificatori dei detector devono essere frequency-aware. Un singolo sito con text fragmentation alta può essere un contenuto legittimamente ben strutturato. Venti siti concorrenti nella stessa nicchia, tutti con lo stesso pattern di frammentazione nel giro di due settimane, è un segnale di ondata coordinata. Il valore di un tool GEO sta nella detection del pattern di gruppo, non del singolo.
La Conclusione Strategica
Il paper di Fudan racconta una storia a due voci. La prima è rassicurante: l'architettura dei motori AI è strutturalmente più robusta di quella dei motori classici. Il 99,78% della vecchia SEO nera non funziona. Il retrieval phase è un muro reale. Il query rewriting è una difesa potentissima, nata quasi per caso.
La seconda voce è allarmante: gli attacchi specifici per LLMSE sono già stati progettati, testati e documentati. Hanno tassi di successo a doppia cifra. Sono sottili, difficili da detectare con strumenti tradizionali, e sfruttano caratteristiche architetturali che i motori AI non possono rimuovere senza degradare il servizio.
Chi difende ha il vantaggio del muro del retrieval. Chi attacca ha il vantaggio dei sette pattern che quel muro non vede. Il detector del futuro è quello che sa distinguere un contenuto ben strutturato da un LLMSEO ben fatto — e la differenza, spesso, sta nella mano. Non nel segnale.
Crea il tuo account in 30 secondi e lancia la prima GEO Audit gratuita
Fonte: Pei Chen, Geng Hong, Xinyi Wu, Mengying Wu, Zixuan Zhu, Mingxuan Liu, Baojun Liu, Mi Zhang, Min Yang, [ Unveiling the Resilience of LLM-Enhanced Search Engines against Black-Hat SEO Manipulation ](https://arxiv.org/abs/2603.25500), Fudan University, WWW 2026. Dataset SEO-Bench: 1.602 siti black-hat reali. Motori testati: ChatGPT Search, Gemini Grounding, Google AI Overview, Perplexity, Komo, Open WebUI, Khoj, Storm, Perplexica, GPT Researcher.
Vero Dall'Aglio
I am a Principal AI Systems Architect with a background in designingand leading complex, production-grade software systems at theintersection of agentic AI, voice AI, and large-scale data platforms.