文 | 北京邮电大学网络空间安全学院 朱春鸽 雷敏;北京物资学院计算机与人工智能学院 李坤昌 王洋
全球科技革命与产业变革加速推进,具身智能正从前沿探索迈向规模化应用,成为各国战略竞逐的焦点。2025 年 3 月,“具身智能”首次被写入《政府工作报告》,正式跃升为国家战略重点,被确立为培育新质生产力、驱动产业智能化转型的核心载体。作为引领新一轮科技革命和产业变革的战略性技术,具身智能不仅是培育新质生产力的关键引擎,更是推动实体经济与数字经济深度融合、构筑国家核心竞争力的重要支柱。
具身智能融合环境感知、认知理解、自主决策及物理执行等能力,是当前极具代表性的前沿智能形态。这类技术以各类智能体作为物理载体,人形机器人便是其中最典型的实现形式。借助多模态传感与大模型推理能力,具身智能可以驱动机械结构完成精细作业,并通过软硬件协同配合,保障设备在复杂场景下实现自主交互。随着具身智能在工业制造、社会服务等领域应用不断深入,“感知—决策—执行”的实体交互模式,让系统安全攻击面从传统信息层面进一步拓展到物理执行环节,不仅可能带来设备损坏、人员伤亡与数据泄露等安全隐患,严重时还会影响社会整体信任。
为此,深入探究其在信息域与物理域之间的风险传导机制,搭建主动防御、内嵌式的安全治理体系,对推动具身智能产业稳健、可持续、可信发展有着重要现实价值。
一、具身智能发展现状与技术架构
随着人工智能实现从虚拟世界向物理世界的革命性跨越,具身智能已成为驱动产业智能化转型、培育新质生产力的战略性技术。2026年 2 月 28 日,我国首个《人形机器人与具身智能标准体系(2026 版)》正式发布,充分彰显了国家推动创新与安全协同发展、筑牢技术规模化应用基石的坚定决心。
在全球范围内,我国是具身智能领域发展最为活跃的市场之一,人形机器人赛道尤为突出。截至 2025 年 10 月,国内共计有超 230 家企业布局核心硬件、算法与场景应用,其中人形机器人本体厂商超过 140 家。智元、宇树、优必选等头部厂商年度出货量已达数千台,推动行业进入初步商业化阶段。在 2026 年 1 月的 CES 展会上,波士顿动力新款电动 Atlas 等国际产品集中亮相,同时有 20 余家中国企业参展,显示了具身智能正在工业、服务等场景加快落地。实践表明,相关技术已不再停留于早期演示阶段,能够真正解决生产与服务中的现实问题。系统在复杂开放环境下的持续运行正不断积累真实数据,为后续技术迭代与安全标准制定提供重要支撑。
具身智能的本质是赋予智能体物理实体,其核心突破是通过先进分层解耦架构,打破“硬件定义功能”桎梏,实现向“软件定义”通用机器人的范式演进。现代化具身智能系统多采用软硬件解耦三层架构,以实现高模块化、灵活性与可复用性。
感知层位于架构输入端,主要负责多模态数据的采集与初步处理。该层借助各类传感器捕捉环境信息、交互对象特征与自身运行参数,再通过降噪、融合与校验等环节,生成标准化数据供决策层使用。
决策层位于架构核心,主要依托多模态大模型等算法,对感知层传递的信息进行接收与处理。在此基础上,该层完成环境认知、任务规划及指令生成等环节,同时兼顾运行效率与安全性能。这一环节核心目标在于实现可靠决策,也承担着风险传导与放大的关键作用。
执行层为架构输出端,通过执行器等硬件将决策指令转化为物理动作,兼具反馈与轨迹修正功能,形成执行-反馈-优化闭环。作为连接数字决策与物理世界的关键,它是风险转化为物理危害的直接载体,正向高精度、高灵活、高可靠方向发展。
上述三层架构的协同运作依赖标准化接口与通信链路,各层级间的高效信息传输与交互,构成具身智能自主运行的完整闭环。
二、具身智能安全的核心内涵与风险分析
具身智能安全已突破传统网络安全、人工智能安全的单一维度,形成覆盖信息、物理、伦理的多元安全体系,根本目标是保障智能体在全生命周期内实现感知可信、决策可靠、行动可控、数据合规。结合其技术架构与应用特征,风险可从“风险来源—传导机制—场景后果”三个维度进行分析,其中,本体安全与交互安全构成风险来源,经“感知—决策—执行”闭环传导,并在具体行业场景中演化为衍生安全风险(如图所示)。
图 具身智能安全风险
(一)风险来源维度:本体与交互双重核心隐患
具体而言,本体安全风险是多层次、链条化的,贯穿“物理硬件-控制链路-核心算法”这一完整系统架构。
1. 本体安全层面核心威胁
本体安全是具身智能系统自身的基础安全,威胁直指硬件、链路、算法等核心组成部分,直接影响系统自身运行的稳定性与可信性。
一是身体实体硬件安全威胁。传感器、执行器、计算芯片三大关键部件易遭攻击,形成由攻击植入到物理危害的传导链条。传感器感知失真、执行器动作失控、计算芯片被恶意注入代码,最终可能导致系统被非法劫持乃至瘫痪。
二是执行器控制链路攻击面。指令传输、权限管理、反馈机制的漏洞形成由指令篡改到物理危害的传导链条,攻击者易拦截篡改指令、非法接入系统,反馈机制遭到破坏后,系统会直接丧失自我修正能力。攻击易形成跨环节联动的复合攻击,直接把信息层的风险转化为物理层的实质伤害。
三是多模态大模型带来的软件与认知安全风险。大模型训练数据偏差、对抗样本攻击、推理不确定性易引发认知偏移与错误决策,模型“幻觉”问题在物理场景中可能被放大,导致不符合实际环境约束的动作指令;同时,模型更新与部署过程中的版本不可控与接口暴露,也可能成为新的攻击入口。
2. 交互安全层面核心风险
交互安全是具身智能与人类、同类智能体、物理环境交互过程中的安全,风险源于交互的开放性、复杂性与不确定性,直接影响系统对外交互的安全性与可控性。
一是人机交互安全与伦理风险。这类风险覆盖指令传递、意图理解、动作执行全流程,因交互的开放性、模糊性及智能体行为的自主性,易出现指令理解误判(如恶意诱导或无意误解),弱身份认证、权限滥用等缺陷,不法分子很容易借此非法获取智能体控制权。
二是机机协同通信安全威胁。通信链路的开放性使其成为攻击高发区,各类攻击围绕破坏协同逻辑、窃取敏感信息、劫持协同行为展开,形成由单点被攻到大规模危害的传导链条。数据窃取、指令篡改、协同劫持、拒绝服务等攻击会直接引发群体智能体失控。
三是开放环境下的对抗性干扰。开放环境下面临的对抗性干扰手段多样且隐蔽,是攻击者针对具身智能的交互漏洞发起的精准打击,与普通环境干扰不同,其攻击目标明确、路径精准、实施隐蔽,风险沿感知欺骗、决策误导、行动失控路径层层传导,攻击实施门槛低,实际防护难度大。
(二)风险传导维度:“感知—决策—执行”闭环演化规律
本体安全与交互安全的底层隐患并非孤立存在,而是通过具身智能“感知—决策—执行”核心闭环进行逐层传导、耦合放大,形成 “源头隐患—层级传导—系统风险”的演化路径,这也是风险从局部问题演变为系统问题、从信息层漏洞转化为物理层实质危害的关键环节。
一是逐层递进传导。风险从感知层切入,经数据采集、处理环节传递至决策层,导致算法理解偏差、任务规划错误、指令生成失序,再由决策层传递至执行层,最终表现为物理动作失控、操作失误,实现从信息层风险到物理层风险的跨域转化。
二是跨环节耦合放大。单一维度的源头风险易与其他环节的漏洞叠加,形成复合风险,如传感器感知链路的数据篡改漏洞,这与决策层大模型的认知偏差耦合,会进一步增大决策错误的概率;执行器控制链路的指令劫持,与机机协同的通信漏洞叠加,会引发群体智能体的连锁失控,实现风险的规模性放大。
三是全闭环反馈强化。具身智能的“执行—反馈—优化”闭环,若反馈机制遭破坏或被利用,会将错误的执行结果作为优化依据反馈至感知层与决策层,形成“错误执行—错误反馈—错误优化”的恶性循环,使风险在闭环内持续强化,难以自主消解。
(三)风险后果维度:行业场景化现实危害表现
当本体或交互环节的安全漏洞传导至具体行业应用场景时,会结合场景的业务逻辑与环境特性,演化为具有现实破坏性的安全风险。根据不同应用场景及风险作用方式,其衍生安全风险主要体现在以下典型领域。
一是工业生产场景中的设备损毁与流程瘫痪。在汽车制造、精密装配等工业场景中,本体层执行器控制链路受攻击或指令篡改,可直接导致机械臂动作失序,引发设备碰撞、产品报废;机机协同通信遭阻断,则会破坏柔性产线协同逻辑,造成生产流程紊乱甚至大规模中断。例如,在近期公开测试中,某人形机器人因控制程序异常出现动作失控,表现为高速摆臂等非预期行为,存在对周边人员造成伤害的风险。此类执行层软件漏洞若在真实产线中被利用,可能进一步转化为物理损毁与生产停滞等严重后果。
二是医疗与康养场景中的人身安全与数据泄露风险。在手术辅助、康复护理等场景中,感知链路攻击可造成病灶识别偏差,进而引发医疗操作失误;人机交互中的指令误判或权限缺陷,可能导致护理机器人动作异常,对患者造成直接伤害。美敦力 Mazor X 脊柱手术机器人因参考框架误差导致手术轨迹偏差,进而引发医疗安全风险,并冲击技术信任基础与社会接受度。已有案例报告显示,个别患者出现神经组织损伤等并发后果,相关情况体现了感知层偏差向人身伤害传导的潜在路径。该类场景会采集大量生物特征数据,一旦交互链路存在漏洞,将面临大规模泄露风险。
三是公共与家庭服务场景中的信任风险与伦理问题。在无人配送、家庭陪伴等开放环境中,外部对抗性干扰与算法漏洞可能导致智能体行为偏离预期,引发公众安全担忧;决策层算法的不透明性及责任界定不清,在造成财产损失时易引发责任归属争议。在安全测试场景中,研究人员通过构造特定语音指令绕过模型安全约束,实现对机器人行为的异常控制,这表明大模型存在被诱导执行危险动作的风险。同时,有研究披露,部分人形机器人存在命令注入漏洞,攻击者可借此实现远程控制与隐私数据获取,甚至形成规模化安全风险。
三、 具身智能安全治理的现实挑战
大模型为具身智能的技术迭代注入了强劲动力,但具身智能相关的制度体系建设、核心技术攻关与专业人才培育等方面,尚未完全匹配技术发展速度,发展与安全的协同性有待进一步提升。
(一)制度与标准滞后
全链路制度与标准滞后已成为具身智能安全治理的结构性“瓶颈”。具身智能是信息安全、功能安全与伦理治理深度交叉的新型领域,现行法律与标准体系仍局限于《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的传统框架或单一设备功能安全规范,未形成覆盖“算法模型-物理执行-人机交互”全链条的专门制度。安全责任认定上,现行制度未明确算法决策失误、执行器异常等不同风险的责任划分,事故后责任界定与追溯易模糊,影响处置效率与司法一致性。技术规范层面,缺乏具身智能系统专属测试基准、准入认证规则及动态更新机制,不同场景安全阈值无统一参照,导致治理无据、企业合规无序,制约具身智能规模化应用。
(二) 核心技术对外依赖
源头性核心安全技术受制于外部供给,显著加剧具身智能安全治理被动性。具身智能系统安全底座依赖高精度传感器、专用安全芯片、加密算法模块等关键环节,目前,部分具身智能专用底层加密算法库、实时控制系统安全开发框架仍沿用国外技术标准,缺乏国产化替代方案。一旦遭遇技术出口限制、漏洞披露滞后或潜在后门风险,国内企业在系统升级、漏洞修补与安全评估上便会陷入被动局面;若安全架构依托外部封闭技术栈,无法实现全链条可信验证,自主风险防控能力大幅削弱,在供应链复杂化、国际技术博弈加剧的背景下,系统性风险进一步放大。
(三) 复合型人才短缺
跨维度复合型专业人才供给不足,是具身智能安全治理能力建设的深层制约。具身智能安全涉及算法鲁棒性、硬件可信设计、功能安全验证及法律合规等多维度交叉领域,要求从业人员既掌握人工智能与机器人控制系统知识,又熟悉安全架构设计、风险评估方法及相关法规标准。当前,人才培养体系以学科划分为主,人工智能、网络安全等专业壁垒明显,缺乏系统化交叉课程与实践平台。产业实践中,研发人员侧重性能优化与算法精度,忽视安全设计与威胁建模,传统安全人员不了解具身智能系统物理结构与控制机制,难以有效判断执行层风险。人才结构不匹配,直接导致安全方案落地难、适配差,从而影响治理整体效能。
四、具身智能多维安全治理对策建议
面向具身智能安全治理的多维风险挑战,需构建与风险来源—传导链条—场景后果相匹配的多维安全防护体系,重点覆盖数据安全、网络安全、算法安全、功能安全、物理安全及伦理安全等关键领域。
(一)完善全链路安全制度标准体系
针对具身智能“信息-物理”深度融合的特性,需加快构建适配其跨域、动态、全链条特征的数据与网络安全制度框架。在数据安全层面,明确感知、交互、行为等不同类型数据的采集边界与使用规范,细化分级分类要求,强化算法决策过程的数据溯源与操作留痕机制。在网络安全层面,建立覆盖感知、传输、决策、执行全环节的统一安全标准,制定机器人通信、多智能体协同、远程控制等典型场景的安全基线配置与测试准入规范。同时,应将算法安全与模型治理纳入制度体系,强化模型训练数据合规性、推理过程可解释性及决策结果可审计性,并同步关注人机交互中的伦理约束与行为规范。明确算法安全的全生命周期监管要求与伦理安全的行为边界准则,建立算法故障、伦理争议的应急处置与责任认定机制。通过制度与标准的系统化构建,厘清安全责任边界,提升治理的规范性与可操作性。
(二)强化源头性核心安全技术自主攻关
针对核心安全技术对外依赖、供应链风险突出的问题,需聚焦关键技术环节定向攻关,构建具身智能安全技术底座。重点突破高可信安全芯片、抗干扰传感器、国产化加密算法模块等关键基础组件,实现数据加密传输、设备身份认证与通信链路防护能力的自主可控。在算法安全方面,应提升模型鲁棒性与抗对抗性攻击能力,提升复杂环境下的稳定决策水平。建立模型全生命周期的安全检测与版本管控机制,破解算法黑箱问题,提升推理过程的可解释性与决策结果的可审计性。在系统控制与执行层面,应强化功能安全设计与物理安全防护机制,提升异常状态下的可控性、容错能力与故障隔离能力,从技术根源防止信息域风险向物理域转化。搭建物理硬件的可信验证与动作异常监测体系,实现传感器、执行器等核心部件的攻击溯源与故障快速隔离。
(三)培育跨维度复合型安全治理人才
针对复合型人才短缺、结构失衡等问题,应围绕数据安全、网络安全、算法安全等交叉领域,加快培养兼具技术能力与治理能力的复合型人才。强化从业人员在数据合规审计、算法安全评估、系统风险建模、物理安全防护、功能安全验证等全维度的专业能力,提升跨模态数据风险、复杂系统安全威胁的识别与处置水平。鼓励高校、科研机构与企业构建协同培养机制,将安全设计理念贯穿于具身智能系统研发全过程,构建覆盖“技术研发—应用落地—风险治理”的人才支撑体系,例如北京邮电大学在国内率先开设具身智能安全课程,宇树科技与河南理工大学共建具身智能与应急救援联合实验室,分别从专业课程建设、产学研联合攻关维度开展复合型人才培养。【本文系国家自然科学基金项目“面向轨迹合成数据的多条件范围查询隐私保护方法研究”(项目编号:62502038)的阶段性研究成果】
(本文刊登于《中国信息安全》杂志2026年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
