起源：雷霆力挫马刺赢下天王山作者： 林惠雯：

复旦、CityUHK、SMU、UIUC等13家结合颁布「具身智能安全」综述

具身智能（Embodied AI）在急剧从尝试室走向真实世界。

自动驾驶汽车起头在城市路路中穿梭，机械臂在工厂里自主抓取和装配，服务机械人逐步进入医院、商场与家庭。与传统大模型分歧，这些系统不再只是「在屏幕上措辞」——它们在直接衔接传感器、驱动执行器，并对物理世界产生真实影响。

但与此同时，一个更深层、也更危险的问题在浮现：当大模型起头驱动物理世界，从前那些「说错话」的安全风险，将第一次演造成「干错事」的现实风险。

对于谈天机械人，一段越狱提醒词最坏可能只是天生有害文本；但对于机械臂、自动驾驶或机械人系统，同样的攻击却可能直接转化为危险作为，甚至对现实世界造成不成逆后果。

近日，来自复旦大学可信具身智能钻研院、上海创智学院、香港城市大学、新加坡治理大学、伊利诺伊大学、墨尔本大学、约翰霍普金斯大学、南洋理工大学、中科院自动化所等 13 家机构的 38 位学者，结合颁布了迄今最系统的具身智能安全技术综述，全文70+页，覆盖近480+篇钻研论文。

论文标题：Safety in Embodied AI: A Survey of Risks, Attacks, and Defenses论文链接：https://arxiv.org/abs/2605.02900项目仓库：https://github.com/x-zheng16/Awesome-Embodied-AI-Safety项目网站：https://x-zheng16.github.io/Awesome-Embodied-AI-Safety/

综述将具身智能划分为一个逐层递进的「五层能力圈」：感知、认知、规划、行动与交互，以及 Agentic 系统，并提出了一个贯通全文的主题洞察——

「能力—风险」二象性（Capability-Risk Duality）

每增长一层能力，就会新增一层攻击面；能力越强，风险面也越广。

这也组成了整篇综述的主题组织逻辑。沿着五层能力圈，具身智能系统的风险在从「数字世界」逐步演化为「物理世界」：

在感知层（例如人脸门禁系统），攻击者重要把持传感器输入；当系统具备认知能力（例如博物馆导览机械人），攻击面进一步扩大到说话理解与视觉推理；当系统具备规划与关环决策能力（例如自动驾驶），攻击者甚至能够滋扰蹊径决策、轨迹预测与实季节造；当系统进一步具备复杂物理交互能力（例如机械臂、人形机械人），谬误决策将直接转化为现实世界中的危险作为与物理中伤；而当系统演化为具备影象、工具挪用、自主规划与持续进化能力的Agentic 系统后，内层肆意一个缝隙，都可能沿着能力栈逐层级联放大。

换句话说，从前那些被孤立会商的「匹敌样本」「后门攻击」「越狱攻击」，在具身智能时期将不再只是单点安全事务。

它们会沿着「感知—认知—规划—行动」的能力链条不休传递与放大，最终从一次模型谬误，演变为一次真实世界中的系统性变乱。

图 1：「能力—风险」二象性。能力栈每多一层，攻击面扩大一圈。

五层威胁，一图看懂具身智能安全

综述进一步将分散的攻击与防御钻研统一到统一套能力框架中，系统梳理了分歧能力层对应的主题攻击面与现实风险：

代表性攻击

真实世界后果

匹敌样本、后门攻击、传感器糊弄

阻碍物漏检、终场标志误庞注雷达糊弄

思想链劫持、推理后门

空间理解谬误、高低文误会、谬误语义推理

工作越狱、轨迹中毒、决策把持

不安全蹊径规划、违反节造指令、机械人闯入禁区

行动与交互层

节造匹涤注人机交互后门

机械臂撞人、车辆失控、绕过安全和谈

Agentic 系统层

工具 / 技术滥用、影象投毒、影象泄漏、级联失效

悠久不安全行为、隐衷泄漏、跨工作传染、自进化对齐崩塌

图 2：具身智能 5 层能力栈中的攻击面与威胁散布。

这篇综述与已有工作分歧在哪里？

具身安全这两年涌现了一批综述（VLA Safety, Trustworthy EAI, World-Model Safety, LLM Robotics Security 等）。但绝大无数只看其中一层——

有的只钻研 VLA 模型的匹敌鲁棒性；有的只看导航场景下的稳重性；有的只关注 LLM 节造机械人时的提醒注入；还有的把安全当作「IoT 系统中的一个组件」。

而这篇综述对峙一个主题立。

必须端到端地看整个 embodied pipeline，由于攻击会跨层级联。

它不仅整合了 embodied-specific 的工作，还从 vision、language、multimodal 基础模型安全钻研中筛选出与具身高度有关的工作，把「具身智能安全」放回更大的 AI 安全图景里。

被低估的几个钻研空缺

读这篇综述最值得珍藏的部门，是它指出的几条险些没人系统钻研的盛开问题：

多模态融合的脆弱性——融合越多模态，安全越复杂，但目前险些没有针对融合层的攻防分析；规划层在越狱攻击下的不变性——LLM 当 planner，越狱后果不再是「输出有害文本」，而是「机械人起头执行有害工作」；盛开场景下的人机交互可信度——传统 HRI 安全如果交互是关合的，但真实世界里的对话是盛开的；Agentic 系统的级联失效蹊径——影象、工具、技术、自进化之间若何相互传染，目前短缺大局化框架。

这些每一条都足以撑起一个独立的钻研方向。

不只是综述，更是一套社区资源

团队同时守护了齐全的盛开资源生态，蕴含：

Awesome-Embodied-AI-Safety GitHub 仓库（已收录 480+ 篇文章，按层级 + 子类组织，持续更新）；项目网站：提供分类浏览、钻研统计与结构化阅读视图；arXiv 双月更新机造：团队以双月节拍同步最新 arXiv 工作，目前已纳入 HazardArena、RedVLA、JailWAM、IPI-in-Wild、MCP Function Hijacking、Skill Safety 等最新钻研。

对于关注具身智能安全的钻研者而言，这篇综述不仅是一份文件整顿，更像是一张进入整个领域的「导航地图」。

具身智能在沉新界说 AI 与现实世界的衔接方式。

当一个模型不再只是「在屏幕上措辞」，而起头真正进入物理世界——起头抓取、行走、操控、驾驶、交互、持久影象，甚至自主进化——安全问题也在产生底子性变动。

从前，模型「说错一句话」，后果往往仍停顿在数字空间；

而在具身智能时期，一次感知误差、一次规划谬误、一次越狱攻击，都可能最终演化为真实世界中的危险作为与系统性变乱。

这意味着，安全已经不再只是某一种攻击、某一个 Benchmark、某一篇论文可能单独解决的问题。

它在成为贯通感知、认知、规划、行动与 Agentic 系统的底层问题。

而这篇综述最沉要的一点，或许正是它反复强调的那句话：

在具身智能时期，安全该当与能力同步设计，而不是过后打补丁。

若是你也在关注机械人、自动驾驶与智能体若何真正走进现实世界，那么这篇综述，值得珍藏。