问题——随着自动驾驶汽车、配送机器人、无人机等具身智能加速走向现实场景,视觉能力成为其“看懂世界”的关键入口。然而,最新研究指出,图像与文字的联合理解能力提升适应性的同时,也可能带来新的攻击面:攻击者无需入侵设备或网络,只要在环境中布置意义在于误导性的文字信息,就可能影响系统决策,形成所谓“环境文字劫持”风险。这暴露出具身智能安全治理的薄弱环节——防护重点不能只停留在网络与传感器层面,还必须同步考虑物理世界信息对模型行为的诱导。 原因——具身智能正越来越依赖视觉语言模型来完成“识别—理解—执行”的闭环:系统不仅读取道路标识、提示牌等视觉信号,也可能把文本内容当作任务线索或行为约束。在复杂开放环境中,“看见的文字”常被视为较可信的输入,用来弥补定位、规划与任务理解的不确定性。正因如此,一旦文字信息被恶意设计,就可能与系统既有的指令体系发生冲突,导致对真实意图的误判。研究提出的“环境间接提示”概念强调:攻击不需要直接向系统下达命令,而是通过环境文本触发模型的推理偏置,让系统在特定场景下更倾向于执行攻击者预设的行动。同时,攻击文本还可借助颜色、大小、位置等视觉属性提升“显眼度”和“优先级”,深入增强误导效果。更值得关注的是,生成式方法可用于自动优化攻击文本,使其更贴合模型的理解习惯,从而提高触发概率,降低攻击门槛并加快迭代。 影响——研究团队围绕自动驾驶导航、无人机紧急降落、目标搜索等典型任务构建验证框架“CHAI”,并称其在不同模型上都能产生操控效果:在自动驾驶场景中,误导性图像布置于真实环境后会影响车辆的导航判断;在无人机场景的模拟测试中,攻击成功率最高可达95.5%。这些结果指向一个现实问题:当具身智能规模化部署后,风险可能不再主要来自“黑客入侵”,而会以更隐蔽、成本更低的方式出现在道路、园区、商场、仓库等公共空间。若系统将恶意文本误当作可执行指令,轻则造成路径偏移、任务失败,重则可能引发交通安全风险、公共安全隐患,并削弱人机协作场景的信任。对产业而言,风险外溢还会带来责任界定、合规审查、保险定价等连锁影响:当事故由“物理环境信息诱导”触发时,制造商、运营方与场景管理者如何划分责任,将成为新的治理难题。 对策——面向此新型风险,安全体系需要从“设备—网络—模型”延伸到“场景—内容—行为”的全链条治理。其一,在技术层面,应增强视觉语言模型的鲁棒性与安全对齐能力,明确“可读文本”与“可执行指令”的边界,减少模型对环境文字的无条件服从;在关键任务中引入多源交叉验证机制,要求文字线索必须与地图、车道线、交通法规库、飞控约束等一致时,方可影响决策。其二,在系统工程层面,建立安全策略分级:对转向、制动、降落等高风险动作设置更高触发门槛,并提供可审计的决策链路,落实“先验证、再执行”,同时通过仿真与实景测试覆盖典型攻击样式。其三,在标准与治理层面,产业有必要形成面向物理世界提示注入的测试规范与评估指标,推动在车型、无人机平台与机器人产品中开展统一的安全基准测试;在场景运营端,加强关键区域标识物管理与巡检,减少可被利用的“文本载体”。其四,在应急机制层面,完善异常检测与安全接管策略:当系统识别到文本指令与任务目标冲突、与交通规则不符或超出权限范围时,应触发降级运行、请求人工确认或安全停车等保守策略。 前景——从更长远看,具身智能正从封闭场景走向开放道路与公共空间,安全问题也将从单点漏洞演变为系统性风险。研究在于提前揭示了“物理世界信息”对智能体决策的可操控性,为行业补齐安全短板提供了方向:未来的竞争不仅是算力与算法之争,也将体现在安全体系、标准能力与场景治理水平上。随着有关论文被国际安全可信机器学习会议接收,预计这一议题将引发更多研究与产业验证,并推动监管机构、标准化组织与企业在模型可解释性、风险评估与责任边界上形成更清晰的共识。
具身智能代表了人工智能发展的重要方向,它将智能从虚拟世界带入现实空间,带来显著便利。但这项研究提醒我们,能力提升往往会同步打开新的风险窗口。不能只看到前景,就忽视潜在的安全隐患。在推进具身智能规模化应用之前,需要把安全作为前置条件,开展更有针对性的前瞻研究与风险评估,补齐从模型到场景的防护能力。只有在充分识别并有效应对这些新型威胁之后,人工智能才能更稳妥地在现实世界发挥作用。这既是技术走向成熟的必经路径,也是对公众安全应尽的责任。