复旦、CityUHK、SMU、UIUC等13家联合发布「具身智能安全」综述

具身智能（Embodied AI）正在快速从实验室走向真实世界。

自动驾驶汽车开始在城市道路中穿梭，机械臂在工厂里自主抓取和装配，服务机器人逐渐进入医院、商场与家庭。与传统大模型不同，这些系统不再只是「在屏幕上说话」——它们正在直接连接传感器、驱动执行器，并对物理世界产生真实影响。

但与此同时，一个更深层、也更危险的问题正在浮现：当大模型开始驱动物理世界，过去那些「说错话」的安全风险，将第一次演变成「干错事」的现实风险。

对于聊天机器人，一段越狱提示词最坏可能只是生成有害文本；但对于机械臂、自动驾驶或机器人系统，同样的攻击却可能直接转化为危险动作，甚至对现实世界造成不可逆后果。

近日，来自复旦大学可信具身智能研究院、上海创智学院、香港城市大学、新加坡管理大学、伊利诺伊大学、墨尔本大学、约翰霍普金斯大学、南洋理工大学、中科院自动化所等 13 家机构的 38 位学者，联合发布了迄今最系统的具身智能安全技术综述，全文70+页，覆盖近480+篇研究论文。

• 论文标题：Safety in Embodied AI: A Survey of Risks, Attacks, and Defenses
• 论文链接：
• https://arxiv.org/abs/2605.02900
• 项目仓库：
• https://github.com/x-zheng16/Awesome-Embodied-AI-Safety
• 项目网站：
• https://x-zheng16.github.io/Awesome-Embodied-AI-Safety/

综述将具身智能划分为一个逐层递进的「五层能力圈」：感知、认知、规划、行动与交互，以及 Agentic 系统，并提出了一个贯穿全文的核心洞察——

「能力—风险」二象性（Capability-Risk Duality）

每增加一层能力，就会新增一层攻击面；能力越强，风险面也越广。

感知

这也构成了整篇综述的核心组织逻辑。沿着五层能力圈，具身智能系统的风险正在从「数字世界」逐步演化为「物理世界」：

• 在感知层（例如人脸门禁系统），攻击者主要操纵传感器输入；
• 当系统具备认知能力（例如博物馆导览机器人），攻击面进一步扩展到语言理解与视觉推理；
• 当系统具备规划与闭环决策能力（例如自动驾驶），攻击者甚至可以干扰路径决策、轨迹预测与实时控制；
• 当系统进一步具备复杂物理交互能力（例如机械臂、人形机器人），错误决策将直接转化为现实世界中的危险动作与物理伤害；
• 而当系统演化为具备记忆、工具调用、自主规划与持续进化能力的Agentic 系统后，内层任意一个漏洞，都可能沿着能力栈逐层级联放大。

换句话说，过去那些被孤立讨论的「对抗样本」「后门攻击」「越狱攻击」，在具身智能时代将不再只是单点安全事件。

它们会沿着「感知—认知—规划—行动」的能力链条不断传递与放大，最终从一次模型错误，演变为一次真实世界中的系统性事故。

图 1：「能力—风险」二象性。能力栈每多一层，攻击面扩大一圈。

五层威胁，一图看懂具身智能安全

综述进一步将分散的攻击与防御研究统一到同一套能力框架中，系统梳理了不同能力层对应的核心攻击面与现实风险：

能力层

代表性攻击

真实世界后果

感知层

对抗样本、后门攻击、传感器欺骗

障碍物漏检、停止标志误判、雷达欺骗

认知层

思维链劫持、推理后门

空间理解错误、上下文误解、错误语义推理

规划层

任务越狱、轨迹中毒、决策操纵

不安全路径规划、违反控制指令、机器人闯入禁区

行动与交互层

控制对抗、人机交互后门

机械臂撞人、车辆失控、绕过安全协议

Agentic 系统层

工具 / 技能滥用、记忆投毒、记忆泄漏、级联失效

持久不安全行为、隐私泄漏、跨任务污染、自进化对齐崩塌

图 2：具身智能 5 层能力栈中的攻击面与威胁分布。

这篇综述与已有工作不同在哪里？

具身安全这两年涌现了一批综述（VLA Safety, Trustworthy EAI, World-Model Safety, LLM Robotics Security 等）。但绝大多数只看其中一层——

• 有的只研究 VLA 模型的对抗鲁棒性；
• 有的只看导航场景下的稳健性；
• 有的只关注 LLM 控制机器人时的提示注入；
• 还有的把安全当作「IoT 系统中的一个组件」。

而这篇综述坚持一个核心立场：

必须端到端地看整个 embodied pipeline，因为攻击会跨层级联。

它不仅整合了 embodied-specific 的工作，还从 vision、language、multimodal 基础模型安全研究中筛选出与具身高度相关的工作，把「具身智能安全」放回更大的 AI 安全图景里。

被低估的几个研究空白

读这篇综述最值得收藏的部分，是它指出的几条几乎没人系统研究的开放问题：

1. 多模态融合的脆弱性——融合越多模态，安全越复杂，但目前几乎没有针对融合层的攻防分析；
2. 规划层在越狱攻击下的稳定性——LLM 当 planner，越狱后果不再是「输出有害文本」，而是「机器人开始执行有害任务」；
3. 开放场景下的人机交互可信度——传统 HRI 安全假设交互是闭合的，但真实世界里的对话是开放的；
4. Agentic 系统的级联失效路径——记忆、工具、技能、自进化之间如何相互污染，目前缺少形式化框架。

这些每一条都足以撑起一个独立的研究方向。

不只是综述，更是一套社区资源

团队同时维护了完整的开放资源生态，包括：

• Awesome-Embodied-AI-Safety GitHub 仓库（已收录 480+ 篇文章，按层级 + 子类组织，持续更新）；
• 项目网站：提供分类浏览、研究统计与结构化阅读视图；
• arXiv 双月更新机制：团队以双月节奏同步最新 arXiv 工作，目前已纳入 HazardArena、RedVLA、JailWAM、IPI-in-Wild、MCP Function Hijacking、Skill Safety 等最新研究。

对于关注具身智能安全的研究者而言，这篇综述不仅是一份文献整理，更像是一张进入整个领域的「导航地图」。

具身智能正在重新定义 AI 与现实世界的连接方式。

当一个模型不再只是「在屏幕上说话」，而开始真正进入物理世界——开始抓取、行走、操控、驾驶、交互、长期记忆，甚至自主进化——安全问题也正在发生根本性变化。

过去，模型「说错一句话」，后果往往仍停留在数字空间；

而在具身智能时代，一次感知偏差、一次规划错误、一次越狱攻击，都可能最终演化为真实世界中的危险动作与系统性事故。

这意味着，安全已经不再只是某一种攻击、某一个 Benchmark、某一篇论文能够单独解决的问题。

它正在成为贯穿感知、认知、规划、行动与 Agentic 系统的底层问题。

而这篇综述最重要的一点，或许正是它反复强调的那句话：

在具身智能时代，安全应当与能力同步设计，而不是事后打补丁。

如果你也在关注机器人、自动驾驶与智能体如何真正走进现实世界，那么这篇综述，值得收藏。