从「说错话」到「干错事」:复旦、CityUHK、SMU、UIUC等13家机构联合发布「具身智能安全」综述
具身智能(Embodied AI)正在快速从实验室走向真实世界。
自动驾驶汽车开始在城市道路中穿梭,机械臂在工厂里自主抓取和装配,服务机器人逐渐进入医院、商场与家庭。与传统大模型不同,这些系统不再只是「在屏幕上说话」——它们正在直接连接传感器、驱动执行器,并对物理世界产生真实影响。
但与此同时,一个更深层、也更危险的问题正在浮现:当大模型开始驱动物理世界,过去那些「说错话」的安全风险,将第一次演变成「干错事」的现实风险。
对于聊天机器人,一段越狱提示词最坏可能只是生成有害文本;但对于机械臂、自动驾驶或机器人系统,同样的攻击却可能直接转化为危险动作,甚至对现实世界造成不可逆后果。
近日,来自复旦大学可信具身智能研究院、上海创智学院、香港城市大学、新加坡管理大学、伊利诺伊大学、墨尔本大学、约翰霍普金斯大学、南洋理工大学、中科院自动化所等 13 家机构的 38 位学者,联合发布了迄今最系统的具身智能安全技术综述,全文 70+ 页,覆盖近 480+ 篇研究论文。
论文标题: Safety in Embodied AI: A Survey of Risks, Attacks, and Defenses
论文链接: https://arxiv.org/abs/2605.02900
项目仓库: https://github.com/x-zheng16/Awesome-Embodied-AI-Safety
项目网站: https://x-zheng16.github.io/Awesome-Embodied-AI-Safety/
综述将具身智能划分为一个逐层递进的 「五层能力圈」 :感知、认知、规划、行动与交互,以及 Agentic 系统,并提出了一个贯穿全文的核心洞察——
「能力—风险」二象性(Capability-Risk Duality)
每增加一层能力,就会新增一层攻击面;能力越强,风险面也越广。
感知
这也构成了整篇综述的核心组织逻辑。沿着五层能力圈,具身智能系统的风险正在从「数字世界」逐步演化为「物理世界」:
在 感知 层(例如 人脸门禁系统 ),攻击者主要操纵传感器输入;
当系统具备 认知 能力(例如 博 物馆导览机器人 ),攻击面进一步扩展到语言理解与视觉推理;
当系统具备 规划与闭环决策 能力(例如 自动驾驶 ),攻击者甚至可以干扰路径决策、轨迹预测与实时控制;
当系统进一步具备复杂 物理交互 能力(例如 机械臂、人形机器人 ),错误决策将直接转化为现实世界中的危险动作与物理伤害;
而当系统演化为具备 记忆、工具调用、自主规划与持续进化 能力的 Agentic 系统 后,内层任意一个漏洞,都可能沿着能力栈逐层级联放大。
换句话说,过去那些被孤立讨论的「对抗样本」「后门攻击」「越狱攻击」,在具身智能时代将不再只是单点安全事件。
它们会沿着「感知—认知—规划—行动」的能力链条不断传递与放大,最终从一次模型错误,演变为一次真实世界中的系统性事故。
图 1:「能力—风险」二象性。能力栈每多一层,攻击面扩大一圈。 五层威胁,一图看懂具身智能安全
综述进一步将分散的攻击与防御研究统一到同一套能力框架中,系统梳理了不同能力层对应的核心攻击面与现实风险:
能力层 代表性攻击 真实世界后果
感知层 对抗样本、后门攻击、传感器欺骗 障碍物漏检、停止标志误判、雷达欺骗
认知层 思维链劫持、推理后门 空间理解错误、上下文误解、错误语义推理
规划层 任务越狱、轨迹中毒、决策操纵 不安全路径规划、违反控制指令、机器人闯入禁区
行动与交互层 控制对抗、人机交互后门 机械臂撞人、车辆失控、绕过安全协议
Agentic 系统层 工具 / 技能滥用、记忆投毒、记忆泄漏、级联失效 持久不安全行为、隐私泄漏、跨任务污染、自进化对齐崩塌
图 2:具身智能 5 层能力栈中的攻击面与威胁分布。 这篇综述与已有工作不同在哪里?
具身安全这两年涌现了一批综述(VLA Safety, Trustworthy EAI, World-Model Safety, LLM Robotics Security 等)。但绝大多数 只看其中一层 ——
有的只研究 VLA 模型的对抗鲁棒性;
有的只看导航场景下的稳健性;
有的只关注 LLM 控制机器人时的提示注入;
还有的把安全当作「IoT 系统中的一个组件」。
而这篇综述坚持一个核心立场:
必须端到端地看整个 embodied pipeline,因为攻击会跨层级联。
它不仅整合了 embodied-specific 的工作,还从 vision、language、multimodal 基础模型安全研究中筛选出与具身高度相关的工作,把「具身智能安全」放回更大的 AI 安全图景里。
被低估的几个研究空白
读这篇综述最值得收藏的部分,是它指出的几条 几乎没人系统研究 的开放问题:
多 模态融合的脆弱性 ——融合越多模态,安全越复杂,但目前几乎没有针对融合层的攻防分析;
规划层在越狱攻击下的稳定性 ——LLM 当 planner,越狱后果不再是「输出有害文本」,而是「机器人开始执行有害任务」;
开放场景下的人机交互可信度 ——传统 HRI 安全假设交互是闭合的,但真实世界里的对话是开放的;
Agentic 系统的级联失效路径 ——记忆、工具、技能、自进化之间如何相互污染,目前缺少形式化框架。
这些每一条都足以撑起一个独立的研究方向。
不只是综述,更是一套社区资源
团队同时维护了完整的开放资源生态,包括:
Awesome-Embodied-AI-Safety GitHub 仓库 (已收录 480+ 篇文章,按层级 + 子类组织,持续更新);
项目网站: 提供分类浏览、研究统计与结构化阅读视图;
arXiv 双月更新机制: 团队以双月节奏同步最新 arXiv 工作,目前已纳入 HazardArena、RedVLA、JailWAM、IPI-in-Wild、MCP Function Hijacking、Skill Safety 等最新研究。
对于关注具身智能安全的研究者而言,这篇综述不仅是一份文献整理,更像是一张进入整个领域的「导航地图」。
写在最后
具身智能正在重新定义 AI 与现实世界的连接方式。
当一个模型不再只是「在屏幕上说话」,而开始真正进入物理世界——开始抓取、行走、操控、驾驶、交互、长期记忆,甚至自主进化——安全问题也正在发生根本性变化。
过去,模型「说错一句话」,后果往往仍停留在数字空间;
而在具身智能时代,一次感知偏差、一次规划错误、一次越狱攻击,都可能最终演化为真实世界中的危险动作与系统性事故。
这意味着,安全已经不再只是某一种攻击、某一个 Benchmark、某一篇论文能够单独解决的问题。
它正在成为贯穿感知、认知、规划、行动与 Agentic 系统的底层问题。
而这篇综述最重要的一点,或许正是它反复强调的那句话:
在具身智能时代,安全应当与能力同步设计,而不是事后打补丁。
如果你也在关注机器人、自动驾驶与智能体如何真正走进现实世界,那么这篇综述,值得收藏。