不足8小时，机器人被“劫持”，家庭生活恐被“直播”

当发令枪响，百余台人形机器人与上万名跑者同步出发，有的机器人步伐稳健、一马当先，有的小巧敦实、迈着小短腿奋力追赶，还有机器人摔倒后迅速自主起身，继续向前……这是发生在2026北京亦庄人形机器人半程马拉松现场的一幕幕。21.0975公里，展示的不仅是机器人的速度，还有长距离续航、自主导航、动态避障与复杂环境适应的综合实力。

当机器人越来越灵活、越来越智能时，一个关乎产业未来与公共安全的核心问题浮出水面：机器人自主行动后，该如何筑牢安全防线？

就在4月20日，独立安全研究服务机构DARKNAVY联合CIIPA关键信息基础设施安全保护联盟、数说安全发布《具身智能安全技术白皮书：机器人篇》（以下简称《白皮书》），基于实战攻防揭示了具身智能机器人在现实中的安全隐患。

“一部最新的旗舰智能手机，专业网络安全研究团队实现远程完整攻破，至少需要数月；一辆成熟的智能汽车，攻击者实现多域系统的全面破解控制，周期甚至更长。而本团队对一台市面在售的知名品牌具身智能机器人实施渗透测试，在获取设备后，从漏洞识别到远程完整攻破，整个攻击周期不足8小时。”《白皮书》提到。

当前，具身智能产业正处于规模化部署前夕。2025年全球市场规模达44.4亿美元，人形机器人出货量突破1.3万台，预计2035年部署量将超260万台。技术能力的高速演进与安全体系的缺失严重脱节，行业正经历一段高危的安全真空期。

机器人易“叛变”

“向左转”“向前走两步”……两台人形机器人精准执行着接收到的命令，可短短几分钟后，这两台听话的机器人就变成“受控傀儡”，当其中一台联网机器人被攻击者控制后，另一台未联网的机器人也被近场“劫持”，彻底任由攻击者“摆布”，拳头挥向假人。在GEEKCON2025上海站安全极客大赛现场，机器人“叛变”的一幕令人毛骨悚然。这意味着，在开放环境中机器人漏洞一旦被利用，很容易形成连锁反应，威胁周边人群安全。

过去的网络安全问题，大多局限在数字空间，后果多为数据泄露、服务中断；而集环境感知、自主决策、物理执行于一体的具身智能机器人一旦被攻击、被劫持，数字世界的漏洞会直接转化为物理伤害，甚至危及人类。

根据《白皮书》对当前国内主流机器人的调研结果，其安全能力尚未达到早期智能终端或物联网设备的基础防护水平。DARKNAVY安全研究员屈师培告诉《IT时报》记者，在可控环境测试中，多款关注度较高的机器人产品暴露出基础防护缺失的问题。“有的机器狗出厂时自带固定且无法修改的热点密码，路人只需拿出手机连接，就能直接夺取设备控制权；有的机器人云端权限管理存在明显漏洞，攻击者可以远程查看任意一台联网设备的摄像头画面，甚至操控机械臂做出危险动作。”

近年来多起公开安全研究证实，四足机器人、服务机器人等设备，可被远程劫持并用于物理干扰、设施破坏等行为。

在一些业内人士看来，当下国内具身智能行业，普遍呈现出重功能、轻安全的发展倾向。中国城市发展研究院投资部副主任袁帅向《IT时报》记者表示，当下不少企业最容易忽视的恰恰是“非功能性”的安全问题，很多企业把绝大部分精力都放在了提升机器人的运动能力、交互能力、任务完成效率上，默认所有运行环境都是理想状态。“很少有企业会专门测试机器人在系统卡顿、传感器被遮挡、受到外力撞击等异常状态下的反应，也很少针对被恶意攻击、指令被篡改的场景做安全防护设计。”

家庭生活可能被“直播”

“感知——决策——执行”是机器人的完整风险传导链，一条精心构造的语音指令、一次无线信号注入、一个云端接口漏洞，都可能劫持决策链路，引发失控、碰撞、伤人等危害。

《白皮书》发布了RoboSec Top10关键风险清单，覆盖端侧权限、云端通信、控制逻辑、感知欺骗、AI资产完整性等环节，直指普遍性安全问题。

“原本用户只能查看自己的机器人，可在漏洞存在的情况下，攻击者能随意查看他人设备，相当于把用户家庭生活全程‘直播’出去，隐私完全暴露。”屈师培解释说，现在的机器人大多配备头部摄像头，用于环境感知与运动决策，一旦云端控制面存在权限管理漏洞，攻击者就可以越权访问，远程查看并窃取摄像头实时画面。

此外，“AI资产完整性失控”同样暗藏致命隐患。为提升智能性，很多机器人会接入云端大模型，用户语音指令会上传至服务器处理后再返回执行。但在实际研究中发现，部分厂商并未充分校验云端接口的真实性。攻击者在同一局域网或近场环境下，就能将机器人原本连接的官方大模型接口篡改为自己控制的恶意地址，让机器人把指令发给攻击者而非正规服务器。一旦机器人内部逻辑存在缺陷，恶意指令就会直接触发漏洞并执行危险动作。

《白皮书》将具身智能安全影响划分为L1至L5五级，从信息泄露到人身伤害逐级递增，任何导致安全兜底失效的漏洞，均为L4—L5级高风险。比如模型被植入后，在特定场景下执行预定的危险动作，识别到特定标志后触发异常行为，构成L5级精准威胁。

“能跑起来”不等于“能卖出去”

工业领域ISO 10218等标准成熟，协作机器人的力控、急停、安全围栏等相对完善；但具身智能领域，尤其是人形机器人，安全建设明显滞后于功能迭代。

“做得较好的是传统工业机器人厂商在功能安全（SIL/PL等级）上的积累，严重不足的是消费级和科研级产品。”在广州思益得文化有限公司首席策略官陈彦颐看来，本质是行业重演示、轻防护，把“能跑起来”当成“能卖出去”的标准。

“部分头部厂商已经开始建立安全应急响应中心、招募专业安全人才，但很多企业仍处在安全能力空白状态。”屈师培说，不少公司没有专职的机器人安全团队，安全人员仅负责内部IT系统，不涉及机器人本体防护。产品出厂前缺少完整的安全测试，漏洞响应迟缓。

具身智能企业的安全能力尚未成为行业普遍认可的能力基线，而海外头部厂商则将安全能力深度嵌入产品基因。

早在2024年，波士顿动力就发布了专用安全白皮书，公开设备安全设计目标、架构与防护措施，将加密通信、权限分离、安全状态监控等机制深度融入产品。

一个能跑马拉松但可能突然摔倒的机器人，和一个走得慢但绝不跌倒的机器人，后者才是产品。陈彦颐坦言：“安全不是功能的对立面，而是功能的一部分。没有安全背书的功能，在B端无法通过采购审计，在C端无法建立信任。公众对机器人‘不摔倒’的期待远高于‘跑得快’。”

机器人的三条安全铁律

何为真正安全的具身智能机器人？

《白皮书》提出，真正安全的具身智能机器人，必须同时守住三条不可动摇的底线：抗攻击能力、物理安全能力、隐私保护能力。机器人应能有效抵御来自网络、近场或物理接口的恶意攻击；即使在软件故障、感知错误或被部分入侵的情况下，仍应具备避免对人身和环境造成伤害的最终保障；机器人采集的视音频、空间地图、行为轨迹及用户交互数据，应遵循数据最小化原则，具备传输加密、存储隔离与访问审计能力。

2025年9月，国际安全研究机构Alias Robotics与海外安全研究者联合披露，宇树科技Go2/B2四足机器人、G1/H1人形机器人，存在代号为UniPwn的高危蓝牙BLE漏洞，或可直接引发物理风险。宇树科技被迫紧急发布固件修复、全量推送更新，并成立安全团队，产生研发返工、线下召回、品牌危机、客户赔偿等一系列修复成本。

“宇树漏洞事件表明，修复成本远高于预防成本。”陈彦颐告诉《IT时报》记者，企业应把安全“左移”到设计第一天；建立专职安全团队，实施从芯片到云端的纵深防御；采用“安全启动+可信执行环境”这一硬件级防护，避免静态密钥和过时中间件；建立漏洞赏金计划和快速响应机制，将外部研究者从“对手”转为“盟友”。最重要的是，产品上市前必须通过第三方功能安全和网络安全双认证。

业内人士判断，未来3到5年，将是行业安全能力从起步走向成熟的关键窗口期。安全正在从可选投入，变为必须具备的基础能力，从事后补丁变为产品设计的核心环节。预计到2028年，头部具身智能厂商将普遍建立首席安全官机制，安全岗位占比从目前的不足2%提升至10%以上。

随着《人形机器人与具身智能标准体系》落地，CR认证将成为市场准入门槛，“安全即服务”模式兴起，第三方安全审计、算法影响评估成为标配，基于AI的入侵监测、行为异常监测将内置于机器人操作系统，实现从“被攻击后修复”到“攻击前预判”的转变。

图片／  GEEKCON2025 

本文来自微信公众号 “IT时报”（ID：vittimes），作者：潘少颖，36氪经授权发布。