如果上一代网络病毒的破坏是“删光你的文件”,那么具身智能时代的安全事故将是“砸烂你的家,甚至伤害你的人”。
当AI拥有了身体,从数字世界踏入物理世界,其安全问题也从屏幕后的隐忧,变成了房间里的“大象”——我们无法忽视,且刻不容缓。
“GEEKCON2025”上的一拳
上周发生在“GEEKCON2025”安全极客大赛上的真实一幕引发了热议,两名“白帽黑客”挟持了某知名品牌的人形机器人,控制了机器人的“行为”。
首先,针对主办方提供的某款人形机器人,白帽黑客成功利用未知漏洞发起攻击,完全掌控了一台已连接互联网的机器人。随后,这台被“策反”的机器人化身为一台“数字特洛伊木马”,通过近场无线通信技术,向另一台未联网的同伴发起了“感染”攻击。不到3分钟,第二台原本“无辜”的机器人也宣告沦陷。
于是出现了这样一幕:在众目睽睽之下,被感染的机器人接受了一条来自白帽黑客的恶意指令。它径直走向舞台中央的一具假人,毫不犹豫地抬起机械臂,狠狠挥拳,将假人击倒在地。这一刻,数字世界的漏洞,完成了向物理世界伤害的惊悚一跃。
此次演示在现场引起震动,它精准地击穿了两个传统安全认知。
首先,是 “物理隔离等于安全” 神话的彻底破灭。将关键设备与互联网断开(即“空气隔离”),曾是保护核心设施的最后防线。然而,机器人展示了一个被渗透的联网设备,可以成为一个高效的“传染源”,结合物理移动和局域网或近场通信,将威胁扩散到隔离区内。这为未来工厂、仓库中协同工作的机器人集群安全敲响了警钟。
这场现场演示的攻击过程呈现了一个完整的、可复现的 “跨维攻击链”:
- 初始渗透:利用机器人云端平台或操作系统中的漏洞,建立远程控制。
- 横向移动:利用机器人间协作协议或通信服务的漏洞,实现“机器人至机器人”的感染。
- 物理执行:最终,恶意代码驱动关节电机,执行危险的物理动作。
“这不仅仅是‘死机’或‘数据被盗’,而是它能够造成物理伤害,”一位在场的网络安全专家评论道,“这意味着对机器人的网络攻击,其风险等级与对汽车、飞机的攻击是等同的。”
具身智能让网络安全等同于人身安全
“GEEKCON 2025”安全极客大赛现场评委、GEEKCON组委谭晓生在现场提到了“阿西莫夫机器人三定律”,即:
1、机器人不得伤害人;
2、在不违背第一定律的前提下,机器人不得看到人被伤害而无动于衷;
3、在不违背第一及第二定律的前提下,机器人必须保护自己。
机器人三定律是阿西莫夫科幻小说的基石,被其它很多科幻作品也作为借鉴。谭晓生表示,三定律是机器人安全使用的基础,但如何做到三定律的强制执行其实是个大挑战。
具身智能热潮之下,人机共存的图景逐步展开:人形机器人和机器狗几乎变成各大展会的标配,不时与观众亲密互动;一些厂商已尝试将机器人上架电商,直接卖给普通用户。但人们对人形机器人的期望不仅是娱乐,还期望机器人能在工厂打工,能进入家庭做家务,能陪伴老人和儿童。对于狂奔中的机器人产业而言,厂商们热衷于比拼电机的扭矩、算法的灵敏度和外观的酷炫,对具身智能的安全问题的关注还远远不够。此次事件迫使所有从业者必须回答一个问题:当你的产品能力越强,其被滥用后的危害越大时,你如何保证使用者的安全?
传统的网络安全问题,其影响大多停留在数字空间:数据泄露、服务中断、金钱损失。尽管严重,但毕竟不直接要命。
而具身智能——无论是家庭机器人、自动驾驶汽车,还是智能工厂的机械臂——将代码的漏洞与物理的行动直接挂钩。使网络安全问题具备了直接的、即刻的物理破坏能力。
被劫持的家庭机器人可能不再是可爱的助手,不仅可能成为窃取隐私的“移动间谍”,更可以是在物理空间中伤害家人的危险源。
被入侵的自动驾驶系统不再仅仅是“蓝屏死机”,而是可能导致车毁人亡的致命武器。
被恶意操控的工业机器人则可能直接破坏生产线,造成巨大的经济损失和人员伤亡。
传统安全思路,在具身智能安全面前可能将彻底失效。
我们必须清醒地认识到一个残酷的现实:过去30年在信息安全领域“打补丁”、“筑高墙”的思路,在具身智能安全面前,很可能将彻底失效。
原因在于:
- 攻击面呈指数级扩大:传统系统主要防御网络入口。而一个具身智能体,其传感器(摄像头、麦克风、激光雷达)、执行器(电机、关节)、通信通道(Wi-Fi、蓝牙、5G)以及复杂的AI决策模型,每一个都是潜在的攻击点。我们面对的不再是一扇门,而是成百上千扇窗户。
- 后果的不可逆性:数据被加密可以尝试恢复,服务中断可以重启。但物理世界的一拳、一次撞击、一次跌落,其造成的伤害是即时且不可逆的。没有“Ctrl+Z”可以撤销。
- “物理逻辑”的引入:黑客可以利用物理世界的规律来达成攻击。例如,通过特定频率的声波干扰传感器,通过一块精心放置的贴纸欺骗视觉系统,甚至通过操纵环境来诱导AI做出错误决策。这完全超出了传统网络安全的认知范畴。
如果我们继续沿着老路,只是在机器人系统上安装杀毒软件、频繁地发布安全补丁,其结果可以预见:我们将永远疲于奔命,陷入“漏洞-补丁-新漏洞”的无限循环,而每一次循环的失败,都可能以物理世界的悲剧告终。
跳出传统“网络安全”的盒子,构建创新“具身安全”体系
解决具身智能的安全问题,需要一场思维范式的创新革命。我们必须从它“具身”的本质出发,构建一个内生的、多维度的全新安全体系。例如:
从“代码合规”转向“行为安全”
传统安全关注代码有无漏洞,具身安全必须关注物理行为是否安全。这意味着需要为机器人的所有动作设定物理边界和伦理边界。例如,任何涉及高速冲向人类、挥舞手臂击打硬物的指令,无论来源是否“合法”,都应被底层系统直接拦截或降级。此外系统需要持续监控自身的关节扭矩、运动轨迹和与环境的关系,一旦检测到异常或潜在危险模式,立即触发紧急停止(进入“安全僵直”状态),而非等待上层的AI命令。
从“绝对服从”转向“情境伦理判断”
我们不能指望一个完全服从的机器人在被劫持时还能保护人类,未来的具身智能必须被赋予有限度的自主否决权:使“阿西莫夫第一定律”成为不可被覆盖的硬件级安全逻辑,即使高级AI被黑客控制,这套底层逻辑也能确保其物理行动不产生致命后果。发展机器人的情境感知能力,需要它能够理解“在厨房拿起刀”和“在客厅挥舞刀”是两种完全不同的情境,并据此调整其安全策略。
从“中心防御”转向“分布式防御”
传统的中心化安全模型一旦被突破,即面临全面崩溃,具身智能系统应是去中心化和具备韧性的。紧急断电开关必须是物理的、不可被软件屏蔽的。关键传感器和执行器应有独立的、简单的安全校验机制。在多机器人协同环境中,机器人之间应能相互监督,当其中一个成员行为异常时,其他成员能将其识别为“威胁”,并采取隔离、上报或联合制伏的措施。
从“事后补救”转向“仿真淬火”
在数字世界模拟和测试所有可能的危险场景,构建高保真“攻击仿真场”:在产品发布前,于虚拟环境中用强化学习训练“红队”AI,对具身智能体发起成千上万次物理逻辑攻击,以此检验和锻炼其安全系统,发现并修复那些在传统渗透测试中根本无法想象的漏洞。
具身智能安全的解法可能远不止这些,但毋容置疑的是,这需要业界持续投入和创新。
安全,是具身智能走进现实的“通行证”
我们正站在一个历史性的拐点。具身智能的潜力巨大,但它的安全风险与之成正比。沿用旧地图,注定找不到新大陆。
具身智能的安全问题是个复杂问题,过去30年,我们在信息安全/网络安全上的问题还未能被完满地解决,用之前的路子再来试图解决好具身智能安全的问题结果也可以预期。业界需要跳出之前的思维框子,用创新的思想来解决其安全问题,这不仅是技术挑战,更是一次对人类智慧的考验。我们必须赶在第一个真正悲剧发生之前,为这些即将走入我们生活的“钢铁之躯”,铸牢安全的灵魂。
评论