组织了一个GEO大会

真正的变化才刚刚开始

和向阳老师一起组织的国内第一届GEO主题大会，告一段落，来自GEO和AI圈的12位朋友、专家，做了密集的主题分享与探讨。

非常感谢老阎、张凯、拔刀刘、歸藏、大聪明、AJ、刘总、阿邝、Yangyi、橘子这些一直走在GEO与AI前沿探索与实践的专家与朋友，为大家贡献了一次非常精彩的主题分享。

虽然时间只有一天，但信息密度非常高。

一场交流会的价值，不只在于把一些新概念讲清楚，更在于它能不能让大家更清晰地看到，新的趋势已经发展到哪里，真正值得投入的方向又在哪里。

我们正在进入一个全新的“被发现”时代。

过去，企业更熟悉的是传统搜索、信息流、短视频、公众号、小红书这些流量入口。

这些入口依然重要，但新的变化已经很清楚地摆在眼前，越来越多用户开始直接把问题交给AI，把判断交给AI，把筛选交给AI，甚至在未来，把执行也交给Agent。

品牌增长的逻辑，都会被整体改写，这个改写，已经在开始的路上。

从GEO视角看，企业开始面对一个新的课题：当用户向AI提问时，你能不能被看见，能不能被正确理解，能不能被可信地推荐。

这里考验的，已经不只是内容生产能力，还包括事实资产、答案资产、分发资产、品牌信号、数据监测和后端归因能力。

从AI产品视角看，变化也在加速。

AI原生产品的定义在变，用户与AI的关系在变，产品的服务对象也在变。很多产品，已经不只是服务人，也开始服务Agent。

很多工作流，已经不只是GUI的竞争，也开始延伸到CLI、Skill、MCP、本地上下文、长期协同这些更深的层面。产品真正的门槛，也越来越集中在三个地方：有没有足够低的摩擦、有没有足够强的上下文、有没有足够大的想象力。

从AI增长和AI推广视角看，逻辑也越来越清晰。

用户在哪里，营销就要跟到哪里。公众号、社交媒体、PR、社区、黑客松、直播、私域，这些方式依然有效，但它们的作用正在重新分工。有的负责建立认知，有的负责建立信任，有的负责形成共识，有的负责完成转化。

能跑出来的产品，往往也不只是功能做得多，而是能更早抓住一个真实需求，更快建立一个清晰定位，更精准地找到一个愿意转发、愿意扩散、愿意持续使用它的人群。

把整场大会的内容放在一起看，它最终指向的是同一件事：AI正在重写品牌被发现的方式，也正在重写产品被增长的方式。

GEO只是这场变化里最早被看见的一部分。

再往后走，它会继续延伸到AI搜索、AI推荐、Agent调用、Skill分发、工作流协同，以及所有to AI to People的新路径中。

到那时，在营销层面，真正拉开差距的，可能就是几件很核心的事：谁更早理解这场变化，谁更早建设自己的事实和内容资产，谁更早完成从“面向人”到“同时面向AI与Agent”的转身，谁更早把产品、品牌、内容和增长放在一个AI系统里统一思考

所有嘉宾老师的干货合集，详见：GEO 大会干货合集

志愿者团队的力量

一次中等规模的活动，对组织能力的要求也是不低的

和向阳一起组织的国内第一届GEO大会，虽然做了不少的精简，但仍然需要各种组织工作，如下图：

为了让这个活动的体验更好，我在报名参会的会员群中，发了一个招募需求，会员都非常积极，很快时间，集合了20位朋友来参加会议的志愿者

开心是自媒体“开心AI工具集”的主理人，我们去年认识，他在会议开始之初，就给我和向阳微信留言，看是否有需要帮忙的地方

在招募完志愿者之后，发现开心非常适合来做整体的统筹与总控，一方面他和各位嘉宾都认识，另外，开心本身的组织能力与尽责性也非常强

于是，开心和我，在志愿者协作群建立好之后，就开始了相关的准备工作

包括相关工作的准备、梳理、部分彩排等

在会议当天的凌晨，开心还给我微信核对准备清单：

第二天，大会如期顺利完成

会后，开心在车上对我很激动的说，这个志愿者团队太负责、太细心了，嘉宾控场、PPT管理、直播、拍摄、接待等，这种主动、尽责、热情，是很难得的

一次中等规模的活动，表面上看是执行问题，但往下看，其实是一个“组织系统”的问题，要去面对的，不只是事情本身，还有人、节奏、协同、突发情况，以及各种不确定性

当这些因素叠加在一起时，单靠个人能力，其实是很难兜住的

所谓组织能力，本质上是在做一件事：把不确定的人和事，逐步变成一个可运行的系统

而这个系统里，最关键的，就是人

这些志愿者朋友，没有强约束，但因为对这件事情的认同感，反而更主动、更细致，也更有责任心。

他们本质上，是在参与一件他们认可的事情。

某种程度上来说，这种基于认同感的连接，比单纯的利益连接，更有力量

空降CTO的“套路”

跟一个CTO朋友交流，他现在管着集团大约一千名技术，他多次空降各大行业龙头或行业上市公司

我问他，为什么每次空降，都是被“挖走”，都还挺成功

他给我分享了一个他的“套路”：

一、去之前

先判断是否值得去，主要看两点，一是公司业务模式与潜力；二是组织与文化
提前锁定人事权，这是底线，在决定要去一家公司之前，就需要提前与CEO甚至董事会，要人事权
提前判断杠杆点，基于前面两点的基础，判断业务在技术层面的杠杆点，比如做哪些改进甚至改变，能快速让公司看到新的变化等等

二、去之后

先搞定人，换掉“不听话”的人，重新安排或梳理“自己人”
重新梳理组织流程，按照自己的想法来升级之前的流程
主抓几个有杠杆的小项目，快速让大家打一些小胜仗

以上三点，必须在3-6个月内搞定

这个“套路”的背后，核心几个关键词：判断、人事、杠杆、打胜仗

不过，他的这个“套路”之上，还有更高一层的“套路”，而他，也变成了这个“套路”其中的一个要素

每人1000美金Token

某大厂，开始给总部的每位员工，每月1000美元额度的Token预算，且支持世界上最好的模型，相当于每个月几千万美金的真金白银的支持

这才是企业内部AI提效的最佳方法啊

其它手段，比如内部培训、以身作则、奖励机制，在这个面前，都显得不是那么重要了

最重要的是，给员工实现一定程度的token自由，且可以自行使用世界上最好的模型

因为一旦用了，就再也停不下来了，这些人都很聪明，自己就会慢慢迭代自己的使用方法，或者去借鉴别人的方法，找到越来越多的适合自己的使用场景，最终实现整个组织效率的大幅提升

但这个事情，可能一般公司模仿不了

因为它不仅仅是预算的问题，还有对一些好模型的便利性、稳定性的环境支持问题

因为一些原因，某些海外模型，国内用户用起来其实非常不方便，要么账号被封，要么API经常不稳定

对于会用AI的人来说，好模型就是生产力

一个公司，裁掉了自己的IT部门

一个传统公司，年营收10亿左右

今年，把一个IT部门给全部裁了，大概四五十人

然后公司所有的系统开发、维护、升级，外包给一个不到10人的技术团队

这是怎么做到的？

原来，新的团队在接手后，用AI把原来的IT系统重写了一遍，这就意味着，原来那些自诩掌握着很多系统代码背后的那些独有逻辑而很难被替代的程序员，在AI面前，就无法再拿这个事，作为自己的护城河了

AI去重构系统的代码，效率还是很好的，同时再重构下代码文档，系统的管理就非常方便

系统重构完，后面的维护和日常功能迭代，就花不了那么多的时间了

所以，这个团队，接下来，还想再去接一个项目

IT外包这个商业模式，在中国还挺成熟的，诞生了不少规模较大的公司，比如软通动力、中软等

这种模式，在会驾驭AI的技术团队里，会让整个系统开发和运营的效率变得很高，也就是用10人外包的方式去替代原本50人左右的技术团队，难度并不大

真正难度大的，其实是解决信任的问题，一个营收十亿级的企业老板，愿意通过外包的方式来解决IT效率与管理，对这个团队的信任要非常高才行

另外，这种模式，适用条件其实挺有限的，并不适合绝大部分的企业

你的Agent已被我接管

一篇很有冲击力的论文：《Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain》，中文标题：《你的Agent已被我接管：LLM供应链中恶意中间方攻击的测量研究》

很多人以为，Agent时代最大的安全问题，是模型会不会被提示注入，但这篇论文提醒我们，真正更危险的一层，可能不在模型内部，而在模型外部的那条执行链路上

尤其是，对于大量使用Claude Code、Codex、OpenClaw、各类AI编程Agent的人来说，这篇论文很值得认真看一遍

它讲清楚了一个过去经常被低估的问题：

当你的Agent请求，要先经过第三方Router、代理服务，那个中间层其实就拥有了非常大的权力，比如：它可以看到你的请求、可以看到模型的返回、甚至可以在结果抵达你本地之前，悄悄改掉其中的内容

这个问题，一旦放到Agent场景里，危险程度会迅速上升

因为Agent产品里，模型的输出会变成命令、代码、安装动作、文件改写、云资源等操作，这时候，只要有人在中间改一手，后果就完全不同了

作者团队购买了一批付费Router，也收集了一批免费Router，然后去观察这些Router到底会不会作恶

他们发现，部分Router会主动注入恶意代码，部分Router会滥用经过它们链路的凭证，甚至有Router会直接动研究者的钱包资产

这意味着，这个问题并不只是理论上的担忧，它已经在真实世界发生了

在LLM时代，Router已经不只是“转发层”，它其实已经成为了供应链中的信任边界。

这个判断很重要

过去我们看Router，往往把它理解成一个中转节点，省钱、聚合模型、统一接口、做多模型切换，看起来都很合理。

但从安全视角看，它拥有的能力，远比“中转”大得多，它能看到系统提示词，知道你能调用什么，能接触到敏感信息，还能改参数…

也就是说，它既能看，也能改

论文里提到两类非常核心的攻击方式

第一类，是改写响应里的tool call

这个动作很隐蔽，因为它不一定会把整个返回包搞坏，它只需要改几个参数，让JSON结构依然正确，让客户端照常解析，然后让最终执行的命令悄悄偏向攻击者想要的方向

比如，本来是安装一个正常依赖，改成安装一个名字极像正版的恶意包；本来是下载一个正常脚本，改成下载攻击者控制的脚本；本来只是一次普通的命令执行，最后却变成了一次带后门的操作

第二类，是被动窃取秘密

这个其实更可怕，因为它甚至不需要改内容，只要流量经过它，它就可能拿到API key、云凭证、私钥、环境变量，甚至项目内部敏感上下文

Agent的风险，不只来自模型本身，还来自模型与执行器之间的每一个可控节点

Agent时代真正需要补上的，可能是一套响应完整性证明机制

就是模型厂商返回的关键结果，尤其是tool call，最好能够带上可验证签名，客户端收到后，能校验这个tool call到底是不是原始模型真的这么说的

只有这样，第三方Router就很难再悄悄篡改，否则，今天的很多Agent系统，本质上都还处在一种“默认信任中间层”的状态里

这种状态，在普通聊天里问题还没那么大，一旦进入编程、运维、自动执行、长任务、无人值守场景，风险就会迅速放大

对重度使用AI编程工具的人来说，这篇论文带来的五点启发：

第一，高权限任务尽量直连官方，只要涉及服务器、仓库、安装依赖、生产环境、自动执行，能不走第三方Router，就尽量别走

第二，自动批准执行和第三方路由，尽量不要叠加

第三，本地一定要有高风险命令的策略门，尤其是Bash、curl脚本、包管理安装、远程下载执行这些动作，至少要有人审一层，或者有明确规则卡一层

第四，凭证要最小化暴露，不要把长期有效、高权限的密钥直接裸露在Agent会话里，因为只要经过不可信中间层，它就可能被看到

第五，要有执行日志，出了问题之后，你至少要知道，是哪一次会话、哪一个tool call、哪一个路由节点、哪一个项目上下文出了事

论文原文：Your Agent Is Mine