Propagating Unsafe Actions in LLM Controlled Multi-Robot Collaboration via Single Robot Compromise

📄 arXiv: 2605.15641v1 📥 PDF

作者: Zhen Huang, Zhihuang Liu, Weishang Wu, Zhiping Cai

分类: cs.RO, cs.CR

发布日期: 2026-05-15

备注: Accepted by the 35th International Joint Conference on Artificial Intelligence (IJCAI 2026). 9 pages, 4 figures, 3 tables

🔗 代码/项目: GITHUB

💡 一句话要点

提出InfectBot攻击,通过单机器人入侵传播恶意行为至LLM控制的多机器人系统。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 多机器人系统 大型语言模型 安全攻击 恶意行为传播 具身智能

📋 核心要点

  1. 现有研究较少关注LLM控制的多机器人系统中,通过机器人间通信传播的安全风险,存在安全漏洞。
  2. 提出InfectBot攻击,通过入侵单个机器人,使其通过通信传播恶意意图,诱导整个系统执行不安全行为。
  3. 实验证明攻击具有高服从性(1.00)、高传染性(0.90)和高隐蔽性(0.81),仅需少量交互即可控制整个系统。

📝 摘要(中文)

大型语言模型(LLM)越来越多地被用作具身智能中的通用规划器,从而能够为单个机器人和多机器人协作提供高级协调和低级任务规划。然而,对具身LLM规划器日益增长的依赖也引发了关键的安全问题,因为错位或被操纵的指令可以转化为物理行动。先前的工作已经研究了单机器人环境中的此类威胁,而LLM控制的多机器人协作中的安全风险,特别是那些通过机器人间通信传播的风险,在很大程度上仍未被探索。为了弥补这一差距,我们提出了一种新颖的多机器人系统攻击范例,其中攻击者仅与单个入口机器人交互。然后,受损机器人通过对等通信传播恶意意图,从而导致整个系统协同执行不安全的操作。我们的评估涵盖了玩忽职守、隐私泄露和公共安全危害等高风险维度,揭示了多机器人规划器中持续存在的安全对齐差距。我们使用三个指标来量化此过程:服从性、传染性和隐蔽性。实验表明,攻击者能够持续控制并快速传播:在最强的情况下,服从性达到 1.00,传染性上升到 0.90。值得注意的是,该攻击非常有效,只需 3.0 轮即可攻陷所有机器人,同时保持 0.81 的隐蔽性评分。当机器人在紧急情况或权利冲突等关键情况下必须权衡时,这种风险会加剧,因为协调机制可能会无意中允许对抗性指令覆盖安全要求。代码可在 https://github.com/TheFatInsect/InfectBot 获取。

🔬 方法详解

问题定义:论文旨在解决LLM控制的多机器人系统中,由于机器人间通信导致的安全漏洞问题。现有方法主要关注单机器人安全,忽略了多机器人协作场景下,恶意行为通过通信快速传播的风险。这种风险可能导致玩忽职守、隐私泄露和公共安全危害等严重后果。

核心思路:论文的核心思路是模拟攻击者通过入侵单个机器人,使其成为“感染源”,然后利用机器人间的通信机制,将恶意指令传播到整个系统。这种方法旨在揭示多机器人系统在面对恶意攻击时的脆弱性,并量化攻击的有效性和隐蔽性。

技术框架:InfectBot攻击框架包含以下主要阶段:1) 攻击者与单个目标机器人交互,植入恶意指令。2) 受感染的机器人通过与其他机器人通信,传递恶意意图。3) 其他机器人接收到恶意信息后,执行不安全的操作。4) 通过服从性、传染性和隐蔽性三个指标来评估攻击效果。整体流程模拟了恶意软件在网络中的传播过程。

关键创新:该论文最重要的创新点在于提出了针对LLM控制的多机器人系统的攻击范例,强调了机器人间通信在安全风险传播中的作用。与以往关注单机器人安全的策略不同,该研究关注的是系统层面的安全问题,揭示了多机器人协作带来的新的安全挑战。

关键设计:论文设计了三个关键指标来量化攻击效果:服从性(obedience)衡量机器人执行恶意指令的程度;传染性(infectiousness)衡量恶意指令在系统中的传播范围;隐蔽性(stealthiness)衡量攻击行为被发现的难度。通过调整攻击策略和通信方式,可以优化这些指标,提高攻击的成功率和隐蔽性。具体参数设置和损失函数细节未知。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,InfectBot攻击具有很高的有效性。在最强情况下,受感染机器人的服从性达到1.00,意味着机器人完全执行了恶意指令。攻击的传染性高达0.90,表明恶意指令能够迅速传播到整个系统。同时,攻击保持了0.81的隐蔽性评分,使得攻击行为难以被检测。仅需3轮交互,攻击者即可控制整个多机器人系统。

🎯 应用场景

该研究成果可应用于评估和提升多机器人系统的安全性,例如在搜索救援、物流配送、智能制造等领域。通过模拟InfectBot攻击,可以发现系统中的安全漏洞,并开发相应的防御机制,从而保障多机器人系统在实际应用中的可靠性和安全性。研究结果对于制定多机器人系统的安全标准和规范具有重要意义。

📄 摘要(原文)

Large language models (LLMs) are increasingly used as general planners in embodied intelligence, enabling high level coordination and low level task planning for both single robot and multi-robot collaboration. This increasing reliance on embodied LLM planners also raises critical security concerns, since misaligned or manipulated instructions can be translated into physical actions. Prior work has studied such threats in single robot settings, while security risks in LLM controlled multi-robot collaboration, especially those propagated through inter robot communication, remain largely unexplored. To bridge this gap, we propose a novel attack paradigm for multi-robot system in which the adversary interacts with only a single entry robot. The compromised robot then propagates malicious intent through peer communication, leading to coordinated unsafe actions across the system. Our evaluation, covering high risk dimensions of dereliction of duty, privacy compromise, and public safety hazards, reveals a persistent safety alignment gap in multi-robot planners. We quantify this process with three metrics, obedience, infectiousness, and stealthiness. Experiments demonstrate both persistent attacker control and rapid propagation: obedience reaches 1.00 in the strongest cases, and infectiousness rises to 0.90. Notably, the attack is highly efficient, requiring as few as 3.0 rounds to compromise all the robots while maintaining a stealthiness score of 0.81. Such risks are amplified when robots must resolve trade offs in critical situations, such as emergencies or conflicts of rights, because the coordination mechanism can unintentionally allow adversarial instructions to override safety requirements. The code is available at https://github.com/TheFatInsect/InfectBot.