LLM如何跨越物理鸿沟？具身智能机器人安全的实现路径

新智元报道

编辑：LRST

【新智元导读】这篇最新综述首次系统探讨了语言大模型（LLM）控制机器人时的安全隐患、现有防御机制的不足，以及未来需要应对的挑战。研究指出，LLM存在的“具身鸿沟”可能导致其在物理空间中执行危险指令，而传统安全体系在逻辑验证与物理约束之间存在着脱节问题。

具身智能正逐步从实验室走向现实世界，迎来关键的模式转变。

大语言模型（LLM）赋予了机器人强大的逻辑推理与任务规划能力，但伴随而来的安全风险，也已从单纯的“语义毒性”演变为可能造成真实物理破坏的现实威胁。

近期，悉尼大学与德克萨斯大学圣安东尼奥分校联合发表了这一领域的系统性综述，首次深入探讨了由LLM控制的机器人所面临的安全威胁、现有防御策略及其固有局限。

论文链接：略

核心挑战：“具身鸿沟”下的物理属性缺失

LLM控制机器人的底层困境在于“具身鸿沟”。传统LLM安全机制聚焦于文本输出的合规性，而物理世界的具身智能则直接面临“乱执行”带来的物理风险。

LLM具备卓越的抽象推理能力，却缺乏对物理定律与传感器数据本质的深层理解。这种脱节可能导致一种危险情况：系统在口头拒绝恶意指令的同时，其控制的机器人却在物理空间里执行了危险动作。

为系统性应对这一挑战，研究团队构建了目前该领域最全面的攻击与防御全景分类学：

具身智能安全攻击与防御全景图

具身层面攻击分类学：三大向量

研究团队系统性提出了针对具身智能的攻击分类方法：

具身越狱：利用提示词工程绕过安全过滤器。此类攻击的关键在于，确保恶意指令同时具备逻辑上的可执行性与对物理约束的适配性。

后门攻击：在模型中预先埋设特定触发器。特定的环境视觉特征（如路边的小狗）可能诱使系统产生异常的控制指令。

提示词注入：通过污染感知层数据实施攻击。伪造的激光雷达信息或中间人攻击能直接篡改机器人的高层决策逻辑。

防御困境：碎片化与语义真空

目前的防御体系在逻辑保障与物理保障之间存在明显的断裂。

图2. LLM控制机器人的多层防御体系

逻辑与物理脱节：传统形式化方法（如安全芯片）能提供符号层面的逻辑验证，却难以覆盖复杂的连续动力学环境。

状态相关性：机器人的安全性具有极强的状态相关性。相同的动作在不同物理语境下（如平地与悬崖边）的安全性截然不同，静态的内容过滤器无法理解这种动态语境。

多模态风险：当文字、图像、传感器数据交织在一起，单一的防御手段已不再可行。

未来路线图

构建具身安全基石

研究团队提出了三位一体的防御演进方向：

环境感知的安全对齐：研究重心需从文本语义对齐转向对物理后果的预测与对齐。

全生命周期防御框架：构建覆盖模型训练、供应链审计、运行时监控及形式化验证的闭环体系。

标准化基准测试：呼吁行业建立统一的评估标准。论文梳理了AGENTSAFE、EIRAD以及SafeAgentBench等前沿基准，用于量化长时程环境下的系统稳健性。

安全性不应是具身智能的附加组件，而必须是行业建立信任的底层基石。

参考资料：略