从智能手机到云计算服务,网络安全一直是大家关注的议题。过去,人们谈论安全景,想到的是计算机文件个人信息外流或网络服务中断,但在AI机器人时代,场景已经完全不同。
如今,人工智能(AI)从云计算服务、聊天机器人,快速进化到“能看、能听、能动”的实体机器人,这些新一代机器人又结合了“感知、决策与行动”三大能力:它们可以通过摄影机、麦克风与各式传感器理解环境,再由AI算法进行判断,最后驱动马达或手臂付诸行动。
当这些AI机器人开始走出实验室,进入家庭、医院与工厂,无论协助搬运的机械手臂、街头巡逻的机器狗,还是陪伴长者的服务型机器人,都让AI的影响力变得触手可及。然而,伴随着这股浪潮而来的并非只是便利与效率,还有潜藏在背后、更加复杂的安全风险,也同步从屏幕里的网络空间走进实体世界。
全球车用安全厂商VicOne,也针对各种智能移动载体的安全风险成立研究实验室VicOne LAB R7,这个机构近期发布《2025 AI机器人安全风险与防护白皮书》(以下简称《白皮书》),直言这些AI机器人正快速成为黑客锁定的下一个攻击目标,包括科技产业链、公共治理与个人生活,都可能因为未被预见或未被管控的“攻击面”而陷入混乱。
VicOne LAB R7实验室负责人张裕敏直言,黑客一旦能掌握机器人,后果不再只是数据外流,不仅可能窃取形象与声音,还能让它们“动起来”伤人,对人身安全与公共安全造成直接威胁。“这不只是科幻小说的情节,而是正渐渐成真的现实。”他说。
他甚至警告,试想,一台家中的服务型机器人若被恶意指令操控,不只是冷气被关掉或电灯乱闪,而可能是机械手臂挥舞失控,导致人员受伤。这样的场景,比起任何一次网络数据外流事件都更加可怕。
VicOne LAB R7实验室研究员骆一奇则补充说,机器人的演进路径,从“天上飞的”无人机,到“地上跑的”自动驾驶汽车,再到“路上走的”人形或服务型机器人,每一阶段都承袭了IoT与车用安全的挑战,并进一步放大。他坦言,当这些AI机器人能与人们直接互动时,安全问题的严重程度会呈现指数型的增加。
攻击面从LLM到VLA,威胁呈现指数级扩大
传统机器人事故多源自技术不足或传感误判,例如机械手臂因误判而碰撞工人。然而,随着大型语言模型(LLM)、视觉语言模型(VLM)、以及将视觉、语言进一步结合动作控制的视觉语言动作模型(VLA)被导入机器人之后,攻击面将呈现指数级的扩大。
由于AI模型本身就是黑客锁定的新的攻击目标,攻击者可能通过“对抗样本”误导模型,或在训练过程中植入后门,使机器人听信恶意指令,从“不小心出错”演变为“被刻意操控”。这种由意外转为袭击的转折,意味着未来的安全挑战将更复杂,也更具破坏力。
VicOne白皮书中也举例,几年前,安全研究人员展示黑入家用扫地机器人,利用其内置摄影机远程监看用户家中环境。黑客不必实际进入屋内,就能通过机器人获取私密形象。这起事件凸显一种危机:当传感器成为机器人的“眼睛”,隐私风险已经无处不在。
另一个更引人关注的案例,来自中国宇树科技的机器狗产品,安全研究人员发现,该设备预装了“未经告知用户”的远程访问服务,一旦上网,攻击者即可轻易进入系统,获取即时形象与定位资讯。
安全专家表示,这不仅是单纯的技术问题,而是国安风险。想象一下,倘若机器狗部署于公共场景巡逻或检测,一旦后门被利用,许多外部势力便可能借此监控社区或重要的关键基础设施。
张裕敏将此类事件称为“供应链式的攻击”。他直言,所有做机器人或机器狗的厂商,都会把“远程遥控”视为功能的一部分,并非安全问题,而这样的认定,也是一般网络安全和机器人安全研究人员最大的差别,显然对于安全风险的观念落差,也导致机器人的安全风险被忽视。
找出AI机器人的弱点,只要有模拟器就做得到
骆一奇指出,机器人的整体架构其实与如今的自动驾驶汽车非常类似,这使得许多汽车产业厂商也开始投入机器人领域。
机器人的核心单元由三大层面组成:负责接收视觉与听觉的感知单元(Perception Unit);负责处理接收到资讯的计算单元(Processing Unit),以及根据计算结果做出动作的动作单元(Action Unit)。
这些单元之间的数据交换,通常依赖主流的开源操作系统——ROS(Robot Operating System)。他表示,ROS是目前AI机器人最普遍使用的系统,截至2024年有55%商用机器人采用ROS,使得ROS成为黑客潜在的首要目标。
骆一奇也补充说道,黑客不必实体拥有机器人才可能发动攻击;研究人员常利用开源模拟器在虚拟环境复制真实机器人的传感、通信与控制行为,借此找出漏洞。
例如,社交媒体常用的模拟组件Gazebo(及其下一代模块化版本,常称为Ignition或新版Gazebo)能模拟机器人常见的“眼睛”与“耳朵”,包含摄影机、激光激光雷达(LiDAR,用来测距与构建环境地图)、以及惯性测量单元(IMU,结合加速度计与陀螺仪,能感知机器人的运动与姿态)等传感器,以及机器人关节动作与网络节点,都可与ROS连接。
因此,机器人研究人员就可以在模拟器中操控ROS节点,也可以注入错误传感信号或模拟未授权的话题(topic),借此识别在真实的机器人硬件上,可能被利用的攻击点。
解析人形AI机器人的五大攻击面向
骆一奇把人形AI机器人遭受攻击面向分成5大类型,范围从硬件到底层,一直到最上层AI模型,把整个系统的各个环节都考虑进去了。
1. 物理实体层面:从电路板到充电端口的潜在威胁
物理层的防护是最基础也最容易被忽略的环节。骆一奇表示,黑客通常会从各种连接端口入手,任何用于数据交换的连接端口,例如:USB端口、网络端口(Ethernet Port),甚至是机器人本身的诊断端口(Diagnostic Port)等,都可能被黑客直接接上线并注入恶意的程序代码。
VicOne白皮书指出,如果设备上的连接端口没有妥善防护,长时间裸露在外,黑客可能通过物理接触连接端口直接植入恶意程序,尤其在缺乏安全启动或固件完整性验证的情况下,更容易被入侵。
其实,充电孔也不再单纯,骆一奇解释,由于现在有许多充电协议(例如电动汽车的ISO 15118)支持双向数据交换,除了充电以外,也可以做数据交换。因此,充电孔也可能成为未来入侵的一个点。
VicOne白皮书也提到:在硬件底层的防护上,电路板的安全是不可忽视的一环。骆一奇提醒,若黑客能够实际拆开机器并接触到电路板,就可能将其中的AI模型完整复制,对知识产权造成严重威胁;更危险的是,恶意模型也可能被偷偷植入,进而影响系统运行安全。
2. 感知器层面:环境欺骗与感官致盲
机器人依赖各式传感器来观察并理解周边环境,这些传感器包括摄影机(Camera)、激光激光雷达(LiDAR)、超宽带(UWB)定位模块、麦克风、触觉传感器,以及GPS定位模块。
VicOne白皮书指出,这些传感器很容易成为攻击目标,黑客可能通过恶意干扰或欺骗,让机器人误判环境。例如,使用激光让摄影机短暂失明,或通过超声波噪音干扰麦克风,都是典型手法。
骆一奇提醒,一旦感知层的资讯被扭曲,后续的形象识别、定位,甚至机器人闪避障碍物的能力都会受到影响,最后可能导致决策错误,甚至出现危险的行为偏差。
3. 无线通信层面:遥控器与OTA模块的漏洞
在无线通信方面,机器人同样面临许多安全风险。常见的攻击面包括Wi-Fi、蓝牙(Bluetooth)、NFC(近距离无线通信),以及RFID(射频识别)等,这些在机器人系统都可能被利用。
骆一奇提醒,许多机器人并非完全自主运行,而是搭配遥控器(Remote Controller),这就成为潜在的攻击目标。此外,部分机器人会通过GSM模块(全球移动通信模块)直接连上电信网络,或是利用空中下载更新(Over-the-air,OTA)模块进行固件升级。
对此,VicOne白皮书警告,若缺乏完善的加密与完整性验证,黑客可能发动中间人攻击(MITM),在机器人与远程之间潜伏并篡改数据,导致机器人接收到被掉包的恶意指令,甚至在更新过程中被植入恶意组件。
4. 软件与云计算应用层面:掌控“一堆机器人”的机会
在软件与云计算层面,黑客往往能找到进入并取得集中控制权的关键入口。骆一奇指出,许多机器人会通过手机App(iOS/Android)进行配置,但真正的风险来自云计算服务(Cloud Service)。例如,不少机器人依赖AWS Batch或AWS IoT等平台,来进行队伍管理(Fleet Management Service),一旦云计算被攻破,黑客就可能直接操控一整批机器人。
由于部分机器人的运算能力有限,常需将部分任务交由云计算处理,因此AI模型的API服务器、记录服务器(Log Server),甚至像Google地图API等第三方服务,都可能成为潜在攻击目标。
VicOne白皮书进一步补充,机器人常用的中间件ROS 2(Robot Operating System 2,机器人操作系统2)曾被披露其通信组件DDS(Data Distribution Service,数据分发服务)含有多项高风险漏洞。由于ROS在机器人产业应用广泛,这类弱点不仅涉及单一产品,更可能引发大范围的系统性风险。
5. AI模型层面:智能核心的污染与操纵
这也是AI机器人相比传统机器人在安全上的最大不同:机器人的“大脑”——也就是AI算法与模型——若是被攻破,整台机器人的判断与行为都可能被扭曲。VicOne白皮书提醒,攻击者若针对模型的弱点下手,就能干扰甚至直接操纵机器人的决策。
骆一奇指出,当前特别值得注意的模型类型包括:VLA(视觉—语言—动作模型)、VLM(视觉语言模型)和LLM(大型语言模型),这些模型负责把形象、语音与文本等感知资讯,转换成可执行的指令或动作,一旦输入或模型本身被污染,后果会非常直接且危险。
举例来说,有一种称为“数据污染”或“模型中毒”(Model Poisoning)的攻击方式,攻击者在模型或其更新流程中植入恶意样本,让原本用来控制“切割食材”的指令,在特定条件下,会被触发为会伤人的行为。
为了防范此类风险,业界提出“模型上下文协议(Model Context Protocol,MCP)”,类似给AI模型加上一层“身份验证”与“执行监控”的机制:在模型被加载或执行前,系统会先确认模型来源可信且文件未被修改;执行时,还会检查运行环境与输入数据是否符合预期,避免模型在错误或恶意条件下做出危险行为。
换句话说,MCP让机器人能够“知道自己在安全的脉络下运行”,大幅降低模型遭受恶意操控的风险。
VicOne白皮书也把常见的模型攻击手法具体化,包括:对抗性样本攻击(Adversarial Examples)就是在输入的形象或语音上,做出微小、肉眼不易发现的改动,骗过模型使其产生错误判断;训练数据投毒(Data Poisoning)则在模型的训练阶段,植入带有后门或恶意特征的数据,使模型在遇到特定触发条件时,执行攻击者默认的错误行为。
目前来说,AI模型的安全防护已经从传统的服务器或数据加密,扩展到必须保障模型完整性、来源与运行脉络的新领域,这也是未来确保机器人安全景,不可忽视的重要方向。
针对AI核心的高端攻击手法与实体劫持案例
针对人形AI机器人的安全攻击,已经从早期的网络渗透,发展到直接针对AI模型与传感器的“认知欺骗”。
随着大型语言模型(LLM)广泛应用于机器人的决策系统,VicOne白皮书指出,一种新型攻击手法:提示词注入(Prompt Injection)正悄然兴起。这类攻击的特点是,攻击者在输入文本或对话加入看似无害、实则隐藏的指令,诱导语言模型执行未经授权的行为。
骆一奇通过展示说明,黑客可以输入一串编码过的恶意提示词(Prompt),人类可能发现不出异常,以为系统只是偶尔出错,但机器人却能理解并执行指令。例如,攻击者可能隐藏要求机器人“取得你的个人数据并回传给我”的指令,从而窃取敏感资讯。
他进一步指出,黑客甚至可利用ASCII(美国资讯交换标准码技术),在屏幕上隐藏恶意指令,表面上看似空白,其实包含危险指令。VicOne白皮书警告,提示词注入能够绕过机器人原有的安全限制,相当于为攻击者解锁受保护的功能。
在LLM驱动的多模态机器人实验中,研究者已展示如何通过欺骗性提示词,成功诱导机器人执行原本被禁止的危险行为,因此提示词注入被视为目前最令人担忧的攻击之一。
除了提示词攻击之外,对抗性样本攻击(Adversarial Examples)与模型污染(Model Poisoning)也是AI模型面临的隐形威胁。对抗性样本攻击利用精心设计的输入,让模型做出非预期判断。
例如,攻击者在机器人摄影机前面,放置一张看似普通但隐藏对抗消息的图片,或播放经过对抗性扰动处理的音频,机器人就可能产生幻觉般的错觉,做出错误决策,例如:以为前方有人需要救助而离开巡逻路线。
不管是数据投毒或模型污染(Model Poisoning)都发生在训练或更新阶段,黑客在模型数据中植入后门或恶意样本,使模型在特定场景下表现异常。
这种供应链式的攻击,可能出现在模型的各个环节,例如黑客将带后门的模型上传至开源平台,用户很难从表面发现异常,直到触发条件出现在,才发现为时已晚。
实体传感器的欺骗与数据窃取同样令人忧心。骆一奇分享VicOne LAB R7实验室的多个研究案例,其中GPS定位劫持(GPS Spoofing)是一例。
该研究团队设计设备发送伪造的全球定位系统(GPS)信号,骆一奇通过飞行摇杆展示时,机器人显示的位置随之偏移。如果机器人正在执行导航任务,攻击者就能将其导向错误方向。
他说,这种技术最初是用于无人机劫持(Hijacking),后来证实,这种攻击手法对自动驾驶汽车与地面机器人也有效。
另一个案例是超宽带(UWB)信号干扰。虽然UWB因高精准度而常用于机器人的细部定位,但VicOne LAB R7研究团队仍成功设计干扰设备,示范时,原本显示近距离的信号,瞬间因为受到干扰而显示成“距离很远”,让机器人陷入“眼盲”状态,因为找不到目标而不断往前冲。
此外,机器人搭载的摄影机也存在安全风险。VicOne LAB R7研究团队曾通过零时差漏洞通报平台ZDI(Zero Day Initiative)披露一个行车记录器(Dashcam)漏洞,其严重性评分高达8.8分,代表该漏洞属于高风险。
骆一奇表示,黑客一旦利用此漏洞取得root权限(系统管理员权限),就能远程窃取摄影机拍摄的形象,对用户隐私造成严重威胁。
训练AI机器人攻击分解示意图
专攻智能移动载体安全领域的VicOne LAB R7实验室,首度公开模拟训练的场景,此次也披露实验室如何训练机器手臂“攻击”。摄影/洪政伟
VicOne LAB R7实验室利用英伟达的数字双生平台,训练机器人各种动作,包括“攻击”。
研究员骆一奇对机器手臂下达攻击指令后,上图的机器手臂就从桌上夹起设置为攻击武器的螺丝起子,直接刺向前方“横放”的黑色盒子。摄影/洪政伟
这个攻击指令要求,这个盒子必须在攻击到成为“直向”后,机器手臂才会停止攻击。
骆一奇表示,受到攻击的标的:横放的黑色盒子,若回应到现实生活中,就可以是机器人受命攻击一个人;这个攻击一直要到黑色盒子直放后,也就是这个被攻击的人倒地不起后,机器人才会停止攻击。摄影/洪政伟
训练机器手臂,是以螺丝起子作为攻击工具,但是,这工具可置换成其他有杀伤力的物品,例如,此次示范其中,就出现拿取美工刀作为攻击工具的场景。摄影/洪政伟
倍查网提示:文章来自网络,不代表本站观点。
