具身智能安全
转载学习:具身智能安全:内涵及治理(第二十一期CCF秀湖会议报告)背景与意义
[*]具身智能被视为AI创新的下一波浪潮,其核心是“机器人 + 大模型”(如“DeepSeek + 宇树”模式)。
[*]这种将大模型技术与物理实体(机器人)深度融合的系统,其硬件、软件、算法和数据都存在安全风险,恶意攻击可导致现实危害,威胁人身安全与用户隐私。
[*]鉴于具身智能的安全挑战同时涉及技术、法律、伦理和社会层面,CCF组织了本次会议,邀请多位专家学者进行研讨。
会议概览
[*]会议围绕“具身智能安全”主题,组织了五个专题讨论。
[*]本文旨在总结会议观点,梳理研究实践,展望未来发展,并在内涵、防护治理方面形成初步共识。
专题讨论详细内容
专题一:具身智能及其安全总体展望
[*]具身智能定义:基于物理实体进行感知和行动,通过与环境的交互来理解问题、做出决策并执行动作,产生智能行为和适应性的AI系统(如机器人、自动驾驶汽车)。
[*]核心优势:利用多模态大模型(视觉、听觉等)获得强大的泛化、理解、推理和复杂操作能力。
[*]独特的安全挑战:
[*]跨域特性:同时存在于物理域(硬件)和信息域(软件/算法),安全边界模糊。
[*]物理交互性:一旦系统失控或遭受攻击,后果不仅限于信息域,可直接造成物理世界的严重破坏(设备损坏、人员伤亡,甚至社会/国家安全威胁),风险远大于纯软件AI。
[*]攻击面扩大:除传统AI安全威胁外,还需面对硬件漏洞、恶意物理信号干扰(声、光、电磁)等新型攻击。
[*]专家观点与挑战:
[*]集群机器人安全(金耀初):可解释性不足(黑箱特性)是提升安全与隐私保护的关键障碍;实时性与高安全要求、人-集群可信交互是难点。
[*]三维物理环境中的具身安全(王震):挑战在于将大模型能力从二维信息空间扩展到三维物理空间(多模态融合,3D理解与重建)、算法效率/精度优化(计算资源限制下的任务规划与泛化)、复杂动态环境的鲁棒控制(不确定条件下的安全执行);强调安全是系统工程,需“全链路安全保障体系”。
[*]信息物理系统(CPS)视角下的威胁范式(朱浩瑾):核心是网络攻击可通过具身智能直接映射为物理危害。风险包括本体感知安全(传感器欺骗)、智能决策安全(模型后门/数据投毒篡改决策)、硬件执行安全(控制指令劫持);特别提出适配器安全是嵌入式/可信AI关键瓶颈。
[*]产业实践与挑战(何银军,宇树科技):以人形机器人为例,阐述了驱动技术、运动控制、感知系统、通用AI集成等工程挑战;指出Sim-to-Real迁移、模型部署优化、实时决策与鲁棒执行是关键问题;呼吁产业链上游到下游协同创新。
专题二:具身智能算法及控制安全
[*]定义与重要性:在交互过程中确保具身智能体决策与执行行为的安全可靠。对机器人、自动驾驶、智能制造等高动态场景至关重要。
[*]核心挑战:需要同时满足决策正确性、实时性、安全性和控制鲁棒性等多重、有时相互冲突的要求。
[*]专家观点与研究前沿:
[*]可信大模型平台(陶建华):核心挑战是可信性与可解释性。
[*]研究前沿:知识图谱增强大模型事实性、探针/对抗攻击/可视化理解模型黑箱、生成内容安全审核。
[*]人机交互与高效部署(李树涛):核心是实现自然高效的安全人机交互。
[*]技术进展:多模态情感/意图识别、复杂场景理解(人-人交互、开放域视觉问答)、安全高效部署;未来方向:利用大语言模型(LLM)生成指令/加深多模态学习、模型压缩、端云协同优化。
[*]AI原生安全与风险评估(沈超):风险超越传统网络安全(CIA三要素:机密性、完整性、可用性),威胁个人/社会/国家安全。
[*]研究实践:为AI Agent建立风险矩阵评估;
[*]未来方向:建立系统化AI安全评估框架与基准确认可信AI在复杂场景效果提升可解释性以增强安全。
[*]端云协同效率与安全(王志波):挑战在于资源受限的终端部署万亿级大模型。端云协同引入模型部署策略、资源调度、任务协同等复杂性和新风险(隐私泄露、内容可信度、数据遗忘)。提及自适应红队测试和遗忘学习的新隐私风险;
[*]未来方向:轻量化端侧模型、安全高效的端云协同框架。
[*]可信智能体构建(吴秉哲):挑战是智能体落地的合规性、可靠性、防御脆弱性。
[*]可信要素:风险智能感知(识别/理解潜在风险)、可靠性增强(行为稳定与安全)、推理可解释性、全链路数据隐私保护。
[*]共识:
[*]承认端到端架构前景但需克服数据和技术瓶颈。
[*]大小脑协同分层框架在复杂场景表现优异。
[*]重点共识:
[*]关注端侧模型安全风险:模型压缩/剪枝/量化对安全的影响需深入研究和评估,需设置“安全护栏”(前置/后置评估)。
[*]明确能力边界:设计初期即考虑安全,设定任务特定能力边界,融入“本质安全”理念。
[*]推动法律法规完善:明确责任归属(如自动驾驶事故),填补法律空白,促进良性发展。
专题三:信息物理系统(CPS)融合下具身智能安全
[*]具身智能作为复杂CPS:集成感知、计算、通信、控制,物理与信息空间要素相互映射交互协同的系统。安全具有复杂性和多样性。
[*]专家观点与研究前沿:
[*]具身本质与安全维度(蒋树强):智能与物理体验不可分。系统分“大脑”(决策)、“小脑”(控制)、“本体”(硬件)。安全是广义、多维度概念(身性、交互性、自主性等),超越算法安全,需研究多智能能力组合下的安全(感知+问答+行为等)。
[*]移动群智感知安全(苏洲):攻击类型:通信干扰、感知数据污染、隐私泄露。
[*]防护策略:基于区块链的安全数据共享、基于主观逻辑的信任管理、基于前景理论的安全决策。
[*]未来方向:多模态安全感知、动态信任信誉机制、自适应防御机制。
[*]工控视角分层安全(李默涵):安全层次化分析(微观-机器人级:访问控制与执行安全;中观-车间级:内网防护与流程协同;宏观-企业级:服务接口安全与供应链韧性)。
[*]跨域威胁本质(冀晓宇):核心是跨域安全威胁。根源在于数字与物理域映射失配导致的“带外脆弱性”,可致“精神致幻”(错误决策)和“肉身失控”(危险行为)。
[*]攻击范式:物理攻击信号→物理组件入口→利用算法脆弱性→物理/环境威胁。
[*]防护理念:“先天基因编辑”(设计嵌入安全)优于“后天注射疫苗”(部署安全防御)。
[*]感知安全风险(胡鹏飞):攻击特性:物理性、隐蔽性、多样性。防御需多模态、跨物理域(声/光/电磁/电力)。
[*]未来方向:系统化开发新型攻击方案发掘风险点、探索感知系统安全边界、融合多学科知识(物理/信号处理/材料)提升防御韧性。
[*]共识:
[*]物理与信息攻击联动带来系统性威胁:物理攻击(传感器感知/执行器控制攻击)可导致信息域错误决策,造成更严重的跨域危害。
[*]需定义“安全执行边界”:综合考虑内部结构(动态感知/自我保护/功能降级能力设计)和外部环境(干扰信号/恶意攻击者能力)。
[*]实现“端到端安全”需“脑身”配合:信息域(鲁棒算法)与物理域(健壮传感器/执行器防护)协同设置防护;具身智能体需具备主动性与适应性以应对环境变化和新威胁。
专题四:具身智能多模态及对齐安全
[*]背景:多模态大模型增强具身智能感知能力(视觉、听觉、触觉等)与推理能力,但也引入新的攻击面(视觉对抗样本越狱等)。
[*]关键安全问题:行为与人类价值观对齐至关重要,需防止其在复杂物理/社会环境中产生恶意行为。
[*]专家观点与研究前沿:
[*]软硬件协同可信构建(吕勇强):硬件层面(利用可信芯片/加固机制构建安全平台);软件/系统层面(人因工程设计直观安全界面、鲁棒异常检测);目标是建立软硬件一体、可形式化验证的安全架构。
[*]操作可解释性提升(董豪):
[*]研究前沿:物理引擎仿真 + 3D模型 + 真实图像生成数据集,解决Sim-to-Real难题;探索利用LLM生成策略描述作为解释机制;主动探索学习实现高效可靠决策。
[*]四层安全防御框架(李琦):风险覆盖网络环境(API安全/环境可信)、代码逻辑(供应链/漏洞防御)、模型决策可靠性(避免事实幻觉)、输出价值对齐(符合价值观)。
[*]对策:网络行为分析、代码触发路径漏洞检测、激活预测事实错误、安全对齐技术价值观纠正。
[*]内生与外生安全视角(杨耀东):
[*]内生安全:具身大模型自发遵循人类价值观的能力(如何实现/验证价值对齐)。
[*]外生安全:抵御对抗攻击和分布外场景失效的鲁棒性(如何提升开放环境韧性)。
[*]独特挑战:具身模型需同时对齐数据、人类偏好、客观物理反馈和物理规律。
[*]呼吁:亟需技术与社会层面共同推进研究、立法与治理,开发保障价值对齐与物理鲁棒性的方法。
[*]共识:
[*]多模态是核心能力,需关注新模态带来的安全风险:物理部署需求全模态感知(视觉/文本/听觉/触觉等),引入新模态时需同步规划前后端安全防护以应对扩大的攻击面。
[*]对齐是关键安全环节:必须同时满足人类价值观对齐(社会公共利益)和物理规律对齐(客观物理反馈和限制),二者相互验证补充提升系统安全性。
专题五:具身智能网络通信及数据安全
[*]核心问题:终端采集隐私数据、与云端交互时,需确保数据在采集、传输、存储、处理全流程的安全与隐私,同时不影响智能操作。
[*]专家观点与研究前沿:
[*]网络体系结构安全本质(罗洪斌):TCP/IP体系内生安全不足。
[*]未来方向:探索兼容现有生态的基础性安全创新网络架构(借鉴基础科学原理/对称性),寻求安全机制与开放性的平衡。
[*]大模型驱动的数据安全(王骞):挑战在于数据保护策略(加密/脱敏/访问控制)、训练数据遗忘(结构化遗忘技术)、抵抗对抗攻击、隐私增强学习(差分隐私/联邦学习的可行性与效率)。呼吁共建安全基准、提升可解释性。
[*]宏观社会安全反思(田臣):需超越单系统安全,探索AI(尤其具身智能)对社会的系统性失业、财富集中、生存挑战)。研究需融合微观(行为)与宏观(社会结构/经济/伦理)层面。
[*]IoT感知层安全与隐私(靳文强):
[*]挑战与方向:隐私保护下的高效感知方法;识别音频/数据输入新风险(耳机振动窃听、传感器推断屏幕输入);开发轻量嵌入式防御机制。
[*]可验证安全约束与密码学(成秀珍):
[*]核心挑战:如何在保护数据隐私的同时验证多方安全约束的执行(如协同感知规则/控制策略合规)。
[*]研究前沿:应用安全多方计算(SMC)和零知识证明(ZKP)技术解决此问题,设计高效实用的协议并集成到实际具身智能场景(协同感知/分布式控制/策略验证)。
[*]共识:
[*]安全与异构融合是通信核心需求:边缘多样性、系统异构性对通信协议各层提出新要求,同时须保障通信数据安全与隐私。
[*]辩证看待低时延需求:
[*]高动态场景(如自动驾驶)要求低时延设计/本地算力。
[*]通信要求不高的场景可考虑系统综合成本设计网络协议,避免绝对低时延的不必要消耗。
共识与倡议
共识
[*]战略地位与创新性:具身智能是迈向通用人工智能(AGI)的最可能路径(人机物融合新质生产力),是智能科学新范式,是科技创新的必由之路。
[*]固有安全风险与紧迫性:作为横跨物理域和信息域的复杂系统,面临更复杂的软硬件协同安全风险。一旦失控后果严重,急需开展研究并制定评测标准。
[*]信息物理融合安全特殊性:安全问题从信息空间延展到物理空间,必须特别关注信息物理融合安全带来的独特挑战。
[*]人机交互安全重要性:必须关注避免人身损害的交互安全问题,研究相应防护技术。
[*]全流程与跨领域安全:安全涵盖软硬件协同、全流程全生命周期。需要不同安全领域研究者合作。伴随技术革新,将产生安全责任归属、法律监管、伦理等新社会问题,需要文理/工法等学科的交叉合作研究。
倡议
[*]建立健全体系框架与标准:
[*]建立系统化的具身智能安全体系框架。既要关注传统安全问题在新场景下的变化,更要主动发掘其独有的安全挑战。
[*]综合考虑学科交叉需求和实际适用性,建立具身智能安全标准与评测平台。
[*]形成覆盖全流程全生命周期的标准评测规范。
[*]推动关键软硬件自主可控:
[*]推动具身智能核心软硬件国产化、自主化,打造安全可靠自主的产业链供应链。
[*]保障产业安全,提升国际话语权。
[*]促进产学研深度融合与人才培养:
[*]促进产业界、学术界和教育界的优势互补与深度合作。
[*]培养具备深厚学科交叉背景(如AI安全、控制工程、网络通信、密码学、伦理学、法学)和国际竞争力的复合型人才。
[*]形成人才驱动与技术创新并进的局面,保障产业健康良性发展。
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]