文 | 中国信息通信研究院人工智能研究所安全治理部主任 石霖;中国信息通信研究院人工智能研究所安全治理部工程师 邵彦华
随着具身智能技术产业化进程全面加速,人工智能正从“信息处理工具”深度跃迁为“物理行动主体”,其安全风险已突破传统网络空间的固有边界,形成“虚拟攻击触发—算法决策失控—物理危害落地”的全新风险范式。
2025年《政府工作报告》首次将“具身智能”列入国家未来产业重点培育清单。具身智能作为与物理实体深度融合的人工智能,正在成为改变人类生产生活方式、推动社会智能跃升的重要引擎,有望催生颠覆性终端产品装备,促进生产力与生产关系的深层次变革。据中国信息通信研究院发布的《具身智能发展报告(2025年)》显示,截至2025年12月,我国具身智能和机器人领域投资事件达744起,融资总额超735亿元人民币。海外具身智能迎来爆发式增长,Figure完成10亿美元融资,估值达390亿美元,Apptronik完成3.5亿美元A轮融资。随着人形机器人、四足机器人、自动驾驶汽车等产品在工业制造、商业服务、医疗健康、家庭生活等场景中快速落地,人工智能第一次真正意义上走出数字空间,获得了与物理世界实时交互、自主决策并执行实体动作的能力。
然而,技术的高速迭代与产业的快速落地,始终伴随着安全体系建设的严重滞后。近年来,一系列安全事件清晰表明,当人工智能拥有了“动手”能力,其安全风险便不再局限于数据泄露、系统宕机等数字空间损失,而是会直接转化为物理世界的人身伤害、财产损失,甚至引发不可逆的灾难性后果。传统“漏洞发现—补丁修复”的被动防护模式,已完全无法适配具身智能多模态、高耦合、强实时、物理闭环的技术特性。因此,如何重构安全防护体系,守住数字世界与物理世界融合后的安全底线,已成为具身智能产业发展必须解决的核心命题。
一、范式跃迁:具身智能的核心技术特征与安全底层逻辑重构
具身智能是人工智能技术演进的前沿范式,其核心是赋予智能系统物理实体,通过与真实环境的实时交互形成“感知—决策—执行—反馈”的全闭环,实现从“虚拟算法智能”向“物理实体智能”的跨越。正是这一本质性的范式跃迁,彻底重构了网络安全的底层逻辑,其核心技术特征可从四个维度展开分析,这些特征共同构成了具身智能安全风险生成与演化的底层技术条件。
(一)交互层:多模态物理交互打破边界防护逻辑
具身智能以物理空间多模态实时交互为核心,通过视觉、语音、触觉、力觉等感知器件获取环境信息,依托执行机构完成物理操作与运动控制,彻底突破了传统人工智能的纯虚拟交互局限。这意味着传统网络安全“防火墙隔离内外网”的边界防护逻辑完全失效——当智能系统的各类感知器件都成为天然攻击入口,攻击者无需突破网络边界,仅通过视觉欺骗、语音伪造、传感器信号干扰等物理环境手段,即可实现对系统的入侵与操控。
(二)通信层:泛在协同架构放大链路安全风险
具身智能依托“云—边—端”三级协同的泛在通信架构,实现设备端本地感知控制、边缘端低时延计算、云端全局调度迭代的协同运行,同时支持多智能系统群体通信。这种分布式、泛在化的通信模式,打破了传统工业控制、物联网设备的闭环通信架构,让通信链路的每一个节点都成为潜在攻击突破口。而低功耗无线通信普遍存在的加密简化、认证不足等问题,会直接将数字通信漏洞转化为设备被劫持、指令被篡改的物理风险。
(三)系统层:高耦合特性加剧风险传导效应
具身智能是硬件载体与软件算法深度融合的复杂系统,涵盖感知终端、执行机构、算力平台、操作系统、控制软件等异构组件,硬件与软件、感知与决策、控制与执行各模块深度协同。这种高耦合特性让风险传导效应被无限放大,单一模块的微小安全漏洞,无需复杂的攻击手段即可快速扩散至整个系统,最终引发物理执行层面的全面失控。
(四)模型层:自主进化特性降低行为可预测性
具身智能以大模型为核心驱动,具备环境自适应学习与自主进化能力,实现了从“被动执行”向“自主决策、自主进化”的升级。但这与传统静态算法不同,大模型的概率性输出、自主学习中的行为漂移、黑箱决策等特性,使其行为可预测性大幅降低。传统基于规则的安全防护机制难以适配,无法有效应对模型自主决策带来的不可控风险。
二、风险解构:技术内生隐患与管理协同短板
具身智能的产业化落地使其安全风险突破传统网络安全边界,从数字空间可恢复损失升级为物理世界不可逆伤害,且风险贯穿技术研发、场景应用、运营管理全链条,呈现出技术内生隐患与管理协同短板双重交织的特征,其风险形成与传导均源于具身智能自身技术属性及产业发展中的管理滞后问题,二者相互叠加放大,成为具身智能产业落地的核心安全桎梏。
(一)技术层面的内生安全隐患:四大核心维度的固有风险叠加
具身智能的技术安全隐患并非外部入侵导致的次生问题,而是源于交互、通信、系统、模型四大核心技术维度的固有属性,是其区别于传统网络安全的核心前提。四大维度隐患各自存在且相互耦合,形成从数字入侵到物理伤害的完整风险链,最终引发设备失控与不可逆的物理危害。
1. 交互层:多模态感知通道全域暴露,非接触式攻击成为主流
传统网络攻击需突破数字边界,而具身智能的视觉、语音、触觉、力觉等多模态感知器件均为攻击入口,攻击者可脱离网络路径,通过物理环境非接触式手段实现入侵。在视觉层面,对抗样本贴纸、环境光影篡改可误导识别系统,导致工业机器人误判操作对象与环境;在语音层面,伪造恶意指令可触发大模型逻辑缺陷,直接获取设备操控权;在触觉与力觉层面,信号干扰、传感器欺骗会让设备误判动作参数,引发抓取坠落、机械臂撞击等问题,甚至超声波干扰可屏蔽正常指令,实现隐蔽的远程操控。
2. 通信层:泛在通信架构存在先天缺陷,链路漏洞传导至物理执行
具身智能依托“云—边—端”三级协同泛在通信架构,虽提高了运行效率,但让通信链路各节点均成为安全薄弱环节。低功耗无线通信普遍存在加密简化、认证不足等固有问题,攻击者可通过劫持通信链路、篡改指令,将数字层面的通信漏洞直接传导至物理执行环节,引发设备失控,实现从数字攻击到物理动作的直接联动。
3. 系统层:高耦合特性放大风险传导,单模块漏洞引发全局失控
具身智能是硬件与软件深度融合的高耦合复杂系统,感知、执行、算力、控制等异构组件深度协同,导致风险传导效应被无限放大。单一模块的安全漏洞无需复杂攻击手段,即可快速扩散至整个系统,最终引发物理执行层面的失控,为不可逆物理伤害埋下直接隐患。
4. 模型层:大模型固有特性导致行为不可控,传统防护机制失效
以大模型为核心驱动的具身智能,存在概率性输出、自主学习中的行为漂移、黑箱决策等固有特性,使其行为可预测性大幅降低。传统基于规则的安全防护机制难以适配该特征,大模型易被恶意指令诱导突破安全边界,自主决策的不可控性进一步加剧了物理执行风险。
四大技术维度隐患在实际场景中并非孤立存在,而是相互叠加、协同触发安全事故。2025年,GEEKCON安全大赛人形机器人失控事件,是交互层感知入口暴露与模型层决策约束缺失的共同结果;同年,世界人形机器人运动会碰撞事件,体现了系统层高耦合与人机协同机制不足的叠加风险;2023年,韩国物流中心工业机器人致死事故,更是交互层识别失误、系统层安全兜底缺失、模型层异常场景判别不足等多重隐患的集中爆发。由此可见,具身智能的物理安全风险,本质是多维度技术隐患在物理场景中相互触发、传导与放大的产物。
(二)管理协同短板:全链路治理缺位放大技术风险
具身智能的安全风险不仅源于技术底层缺陷、产业全链路协同不足、管理机制滞后等问题,更是数字漏洞向不可逆物理伤害传导的关键催化剂。供应链碎片化的级联失效风险与制度缺失等治理问题相互交织,进一步加剧了安全风险的发生概率与危害程度。
1. 内部运营管理:制度、责任、人员体系滞后,人为疏漏叠加技术风险
行业整体运营管理体系未能跟上具身智能技术的迭代速度,制度缺失、责任模糊、人员能力不足等问题突出,微小的管理疏漏与技术漏洞叠加,极易放大为物理层面的不可逆伤害。在隐私保护层面,具身智能可进入私密空间采集面部、健康等敏感信息,超出现行个人信息保护规则管控范围,公民私密空间安全易受到侵犯;在责任界定层面,智能系统的自主决策特性导致开发者、生产者、运营者、用户在事故后的责任边界模糊,形成“责任真空”,受害人举证与维权难度大;在人员管控层面,行业尚未形成统一的操作流程、权限管控与应急处置体系,研发、运维、操作人员安全意识不足,违规操作、应急响应不及时等人为风险突出,人机协同环节的操作失误难以有效规避。
2. 供应链管理:复杂度高、管控缺位,单一漏洞引发行业级联失效
具身智能供应链横跨芯片、传感器、机械制造、人工智能算法等多个行业,涉及多级供应商及大量开源组件、第三方技术,复杂度远超传统IT与工业设备,风险传导路径更隐蔽、影响范围更广泛,单一环节漏洞即可引发全行业级联失效。当前,供应链的安全短板集中体现在三个方面:一是透明度不足,核心企业仅对一级供应商开展安全审核,二级、三级零部件厂商、开源软件二次开发方均成为管控盲区;二是软硬件安全协同缺失,硬件、软件、算法供应商各自聚焦自身领域性能,忽视跨环节安全适配,防护体系碎片化,安全能力无法形成合力;三是开源与第三方技术依赖度过高,隐性安全风险难以提前识别与管控。2025年,海外某品牌人形机器人蓝牙固件高危漏洞通报后数月仍未彻底修复,正是行业“重功能迭代、轻安全防护”的典型体现,暴露了供应链漏洞修复效率低、全链条管控缺位的核心问题。
三、防御革新:构建具身智能全链路全生命周期安全防护体系
面对具身智能的全新风险范式,单一的技术加固、被动的补丁修复已完全无法满足安全需求。因此,必须打破传统网络安全的思维定式,构建“技术主动防御+管理全周期治理+产业生态协同”的三维防护体系,实现从“事后补救”向“事前防控”、从“单点防护”向“全域防御”的根本性转变。
(一)技术主动防御:构建原生安全、主动防御的技术架构,筑牢物理安全底线
技术防护的核心逻辑,是实现“安全能力与智能能力原生融合”,将安全防护嵌入“感知—决策—执行—反馈”的全闭环,构建多层级、可验证、可兜底的纵深防御体系。
一是在交互层搭建多模态安全引擎与物理安全双护栏。在语言交互层面,通过提示词过滤、语义风险分类、模型对齐训练、越权指令拒答等机制,构建大模型安全护栏,从源头防范提示注入、恶意指令诱导等攻击;在多模态感知层面,研发视觉对抗样本检测、异常语音识别、多通道语义一致性校验技术,实现对伪装指令、环境欺骗攻击的实时识别与拦截;同时叠加工业级物理安全机制,通过运动区域限制、力矩阈值控制、双回路紧急停机等技术,构建刚性的物理安全兜底防线,这意味着即便决策系统失控,也能在物理层面阻断危险动作。
二是在通信层构建“零信任+硬件可信”的传输安全框架。全面落地端到端加密通信、双向身份认证、动态密钥更新机制,将零信任安全架构应用于设备接入管控,通过持续身份校验和最小权限访问策略,从源头杜绝未授权接入;在高安全需求场景中,全面部署可信执行环境(TEE)、可信平台模块(TPM),为关键安全模块提供隔离运行环境,即便主控系统被攻破,核心安全功能也能正常运行;同时通过异常流量检测、多链路通信冗余、入侵防御系统等技术,提升通信链路的抗攻击能力。
三是在系统层构建独立安全子系统,实现安全与主控的物理隔离。借鉴行业内成熟的PMDF独立安全子系统架构,将安全控制功能与主控系统进行物理隔离,通过独立硬件或可信计算平台,部署安全监测、安全决策、故障处理三大核心模块。安全监测模块实时监控系统全链路运行状态,安全决策单元对潜在风险进行实时分析研判,故障处理模块在检测到异常时,直接触发紧急停机、故障隔离、权限冻结等安全策略。这一架构的核心价值是实现了安全能力与主控系统的解耦,即便主控系统被攻击者完全控制,独立安全子系统也能保障物理层面的绝对可控。
四是在模型层构建可验证的行为安全约束机制,防范决策失控风险。针对“视觉-语言-动作”(VLA)模型的行为失控风险,在不改变原有模型结构的前提下,在动作输出端引入低延迟、可验证的安全控制模块,对所有输出的动作指令进行实时安全校验,过滤或修正潜在危险动作。通过模型安全对齐训练、越权行为前置判别、异常决策拦截等机制,避免模型被诱导突破安全边界;同时建立决策行为可追溯机制,提升模型行为的可预测性与可控性,从决策源头防范失控风险。
五是在全生命周期构建“数字风洞”量化测评体系,实现安全左移。摒弃传统“研发完成后再做安全测试”的滞后模式,将安全评估嵌入研发、测试、部署、运行的全流程。通过构建数字化仿真测试环境,搭建覆盖多模态攻击、通信劫持、供应链漏洞、人为操作失误等场景的攻击库,对系统行为进行大规模模拟验证,从智能能力、安全鲁棒性、环境适配性、行为一致性等维度建立量化评估指标体系,在产品部署前就识别并修复潜在风险,真正实现安全能力的原生嵌入。
(二)管理层面:建立全生命周期安全治理体系,实现技术与制度协同联动
技术防护的落地,必须以完善的管理制度为支撑。针对具身智能的风险特性,需构建覆盖产品全生命周期、供应链全链条、人员全维度的安全治理体系,破解安全管理滞后、责任界定模糊、供应链管控缺位等核心问题。
一是构建产品全生命周期闭环安全管理机制。在研发阶段,将安全要求嵌入产品架构设计,建立安全需求分析、安全编码规范、自动化代码审计制度,将安全指标纳入技术验收标准,实现“安全左移”;在生产阶段,建立标准化出厂安全验证流程,通过模拟攻击场景库对产品进行全维度渗透测试,未达到安全基准的产品严禁出厂;在运行阶段,建立实时监控、全流程日志留痕、应急响应的闭环机制,制定覆盖攻击劫持、设备失控、数据泄露等场景的应急预案,定期开展安全演练,提升突发安全事件的处置能力。
二是构建全流程隐私保护与责任追溯体系。严格落实数据最小化原则,在用户充分知情并同意的前提下,限制数据采集的范围与频率,严禁超范围采集私密空间信息与敏感生物特征;对敏感数据实施全流程加密与匿名化处理,完善用户动态同意管理机制,支持用户随时撤回同意、删除个人数据;建立全流程行为审计与决策留痕机制,确保智能体的决策逻辑、行为轨迹、数据使用全流程可追溯,为事故责任认定、用户维权提供技术支撑;推动建立行业专项保险基金,通过保险机制分担事故风险,保障受害人的合法权益,同时倒逼企业提升产品安全能力。
三是强化人员安全能力建设与规范化管理。构建覆盖研发人员、运维人员、操作人员的系统化安全培训体系,明确岗位职责与操作规范。同时,围绕应急处置流程、权限使用边界、异常报告机制开展常态化培训,降低人为操作失误引发的安全风险;定期组织安全宣贯与典型安全事件复盘,提升全员安全意识,形成“安全优先”的企业文化;常态化开展应急演练,围绕设备失控、网络攻击、数据泄露等场景开展模拟处置,提升团队的协同响应与应急处置能力。
四是构建供应链全环节安全管控体系。聚焦供应链上下游各主体、各环节,破解碎片化、管控盲区等问题,阻断供应链风险传导。建立供应商分级分类管控机制,按“核心组件-关键组件-普通组件”划分供应商等级,对核心供应商开展穿透式安全审核,明确各级供应商的安全责任与漏洞修复时限;依托区块链、物联网唯一标识技术,为核心软硬件组件构建“一物一码”溯源体系,实现组件研发、生产、交付、运维全流程可追溯;建立开源组件准入白名单制度,全面梳理开源组件依赖关系,定期开展漏洞扫描与许可证合规审查,对第三方商业组件实施“准入审核+持续监测”双重管控,通过安全隔离模块限制第三方组件的访问权限,从源头阻断风险传导。
四、未来展望:让安全成为具身智能产业发展的核心底座
随着具身智能技术的持续迭代,未来智能系统将从单体智能向群体智能演进,从专用场景向通用场景拓展,自主学习与进化能力将持续增强,安全风险也将呈现出级联放大、边界模糊、行为不可预测等新特征。可以预见,安全将不再是具身智能产业的“附属议题”,而是决定产业能否规模化落地、高质量发展的核心底座与前提条件。
面向未来,行业必须坚持“技术防御与生态治理”双轮驱动,从三个维度推动具身智能安全体系的全面升级。一是加快技术架构革新,推动安全功能与智能决策解耦设计,加快行为级主动防御、可解释人工智能、决策溯源等核心技术研发,构建“云—边—端”协同的分布式全域安全防御体系。二是完善行业标准与法律法规,加快制定具身智能产品安全基线、测试方法、评估标准,明确事故责任划分规则,建立第三方安全评估与认证机制,构建规范化的治理体系。三是强化行业协同治理,依托工信部人工智能产品安全漏洞专业库(CAIVD)、中国人工智能产业发展联盟(AIIA)安全治理委员会,建立威胁情报共享、漏洞联合响应机制,推动产学研用联合攻关核心安全技术,引导企业树立“安全优先”的发展理念,摒弃“重功能、轻安全”的行业误区。
具身智能正在开启人工智能的全新时代,它让人工智能走出了数字空间的围墙,真正融入物理世界,赋能千行百业、惠及千家万户。但我们必须清醒地认识到,当人工智能拥有了改变物理世界的能力,安全就必须成为不可突破的底线。只有打破传统网络安全的思维定式,重构适配具身智能特性的全维度安全防护体系,才能真正守住安全底线,推动具身智能产业安全可控、行稳致远,真正实现“智能向善”的核心价值。
(本文刊登于《中国信息安全》杂志2026年第3期)
