What Breaks Embodied AI Security:LLM Vulnerabilities, CPS Flaws,or Something Else?

📄 arXiv: 2602.17345v1 📥 PDF

作者: Boyang Ma, Hechuan Guo, Peizhuo Lv, Minghui Xu, Xuelong Dai, YeChao Zhang, Yijun Yang, Yue Zhang

分类: cs.CR, cs.AI

发布日期: 2026-02-19

💡 一句话要点

具身智能安全挑战:超越LLM和CPS,关注系统级匹配问题

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 具身智能 安全 LLM 信息物理系统 系统安全 风险分析 故障传播

📋 核心要点

  1. 现有方法主要关注LLM漏洞或CPS故障,未能充分解释具身智能系统中的安全问题。
  2. 论文提出具身智能系统故障源于具身引发的系统级不匹配,而非孤立的模型缺陷或传统CPS攻击。
  3. 论文总结了四个核心见解,强调了物理风险、不确定性和故障传播在具身智能安全中的重要性。

📝 摘要(中文)

具身智能系统(如自动驾驶汽车、服务机器人和LLM驱动的交互式代理)正迅速从受控环境过渡到安全攸关的现实部署。与非具身AI不同,具身智能的失败会导致不可逆转的物理后果,从而引发关于安全性、可靠性和安全性的根本问题。现有研究主要通过大型语言模型(LLM)漏洞或经典信息物理系统(CPS)故障的视角来分析具身AI,但本文认为这些视角不足以解释现代具身系统中观察到的许多故障。我们认为,相当一部分故障源于具身引发的系统级不匹配,而不是孤立的模型缺陷或传统的CPS攻击。具体而言,我们确定了四个核心见解,解释了为什么具身AI的安全性从根本上更难保障:(i)语义正确性并不意味着物理安全,因为语言层面的推理抽象掉了几何、动力学和接触约束;(ii)由于非线性动力学和状态不确定性,相同的动作可能导致跨物理状态的截然不同的结果;(iii)小错误在紧密耦合的感知-决策-行动循环中传播和放大;(iv)安全在时间和系统层面上不具备组合性,使得局部安全的决策累积成全局不安全的行为。这些见解表明,保护具身AI需要超越组件级防御,转向对物理风险、不确定性和故障传播的系统级推理。

🔬 方法详解

问题定义:现有方法在分析具身智能系统安全问题时,主要关注LLM的漏洞或传统CPS的故障,忽略了具身特性带来的系统级挑战。这些方法无法解释许多在实际部署中观察到的故障,例如语义正确的指令在物理世界中可能导致不安全行为,或者局部安全的决策累积成全局不安全行为。现有方法缺乏对物理风险、不确定性和故障传播的系统级理解。

核心思路:论文的核心思路是,具身智能系统的安全问题不仅仅是LLM或CPS的问题,而是由具身特性引发的系统级不匹配造成的。这种不匹配体现在语义正确性与物理安全之间的差距、动作结果对物理状态的敏感性、错误在感知-决策-行动循环中的传播放大以及安全性的非组合性等方面。因此,需要从系统层面进行安全分析和防御。

技术框架:论文没有提出具体的算法或模型,而是一个概念框架,用于分析具身智能系统的安全问题。该框架的核心是四个关键见解:(1) 语义正确性不等于物理安全;(2) 相同的动作在不同物理状态下可能导致不同的结果;(3) 小错误会在感知-决策-行动循环中传播和放大;(4) 安全性不具备组合性。这些见解构成了分析和解决具身智能安全问题的基础。

关键创新:论文的创新之处在于,它将具身智能系统的安全问题提升到系统层面进行分析,强调了具身特性带来的独特挑战。与以往关注组件级漏洞的研究不同,该论文强调了系统级不匹配的重要性,并提出了四个关键见解,为未来的研究提供了新的视角。

关键设计:论文没有涉及具体的算法设计或参数设置。其核心在于对具身智能系统安全问题的系统性分析和概念框架的构建。未来的研究可以基于这些见解,设计更有效的安全防御机制,例如考虑物理约束的LLM、鲁棒的感知算法、故障传播分析工具等。

📊 实验亮点

该论文并非实验性研究,而是对具身智能安全问题的系统性分析。其亮点在于提出了四个核心见解,揭示了具身特性对系统安全的影响,为未来的研究指明了方向。这些见解强调了物理风险、不确定性和故障传播在具身智能安全中的重要性,为开发更有效的安全防御机制提供了理论基础。

🎯 应用场景

该研究成果对自动驾驶、机器人、智能家居等具身智能系统的安全设计具有重要指导意义。通过系统性地分析具身特性带来的安全挑战,可以帮助开发者构建更安全、可靠的具身智能系统,减少现实世界中的物理风险和潜在危害。未来的研究可以基于此框架,开发更有效的安全防御机制和测试方法。

📄 摘要(原文)

Embodied AI systems (e.g., autonomous vehicles, service robots, and LLM-driven interactive agents) are rapidly transitioning from controlled environments to safety critical real-world deployments. Unlike disembodied AI, failures in embodied intelligence lead to irreversible physical consequences, raising fundamental questions about security, safety, and reliability. While existing research predominantly analyzes embodied AI through the lenses of Large Language Model (LLM) vulnerabilities or classical Cyber-Physical System (CPS) failures, this survey argues that these perspectives are individually insufficient to explain many observed breakdowns in modern embodied systems. We posit that a significant class of failures arises from embodiment-induced system-level mismatches, rather than from isolated model flaws or traditional CPS attacks. Specifically, we identify four core insights that explain why embodied AI is fundamentally harder to secure: (i) semantic correctness does not imply physical safety, as language-level reasoning abstracts away geometry, dynamics, and contact constraints; (ii) identical actions can lead to drastically different outcomes across physical states due to nonlinear dynamics and state uncertainty; (iii) small errors propagate and amplify across tightly coupled perception-decision-action loops; and (iv) safety is not compositional across time or system layers, enabling locally safe decisions to accumulate into globally unsafe behavior. These insights suggest that securing embodied AI requires moving beyond component-level defenses toward system-level reasoning about physical risk, uncertainty, and failure propagation.