比人类更聪明，也更容易被骗：多模态AI机器人安全隐患浮现

AI机器人正快速进入我们的日常生活，但随着新一代多模态AI机器人的出现，安全专家警告：这些“更聪明”的机器人，反而更容易被骗。

根据VicOne安全实验室最新发布的《2025 AI机器人安全白皮书》指出，多模态机器人集成了形象、语音、文本甚至动作决策模型，看似能更全面地理解世界，但也因此打开了更多攻击面。

研究显示，只需发布一张特殊设计的图片，再配合一句语音提示，就能误导多模态机器人的判断，让它在错误场景下执行动作。例如，巡逻中的机器人可能被误导为“有人跌倒需要救助”，自行离岗。

根据研究显示，在多模态AI系统中，只要在环境中放置一张“触发图片”（trigger image），再搭配一句特定语音提示，就能诱导机器人做出偏离预期的行为。这些攻击手法在《Adversarial Attacks on Multimodal Agents》一文中已明确被验证：只需微小干扰，即可令机器人的判断产生“认知错误”——例如，本应关瞩目标的自主代理，反而转而执行与原设置完全不同的任务arXiv。

专家指出，这类“对抗样本”攻击对人类肉眼来说毫不起眼，但对机器人却是致命的误导。换言之，人类看到的是正常世界，机器人却可能感知到完全不同的结果。

这类“模态跨栏（cross-modal）攻击”手法具备以下特点：

错觉导向（illusioning）：让系统错误感知当前场景，如误判自己处于另一个状态。

目标误导（goal misdirection）：诱导机器人执行攻击者默认好的目标，而非用户原本指令arXiv。

来自最近2025年发表在ArXiv的新研究《ANNIE: Be Careful of Your Robots》，该研究指出，对于“具备视觉—语言—动作（VLA，Vision-Language-Action）”能力的具身AI机器人，只要在传感器输入中植入“对抗扰动”（adversarial perturbations），便可能直接被诱导从事危险行为。

这些攻击涵盖三种物理安全类型（如碰撞距离、速度控制等），在模拟与实体机器人实验中皆能完成高于50%的攻击成功率，显示攻击不再只是理论，而是真的能影响机器人现场运行。

此外，许多旧有的实体世界攻击案例也值得一提，例如知名的“3D打印乌龟攻击”研究，通过在玩具乌龟上贴附特殊纹理后，使AI系统误将其识别为步枪；或是在停止标志上贴黑白贴纸，被车用识别系统误判为其他交通标志，酿成潜在危机。

总而言之，这些案例提醒我们：对人类视觉或听觉来说微不足道的信号，却可能在多模态AI的“脑海中”引发深刻误解，导致实际行为上的偏差。

白皮书也披露，当多模态机器人采用大型语言模型（LLM）作为大脑时，可能出现“语言上拒绝，但动作却照做”的场景。

当多模态机器人采用大型语言模型（LLM）作为“大脑”时，语言与行动之间可能出现令人惊讶的不一致——这就是“安全不对齐（Safety Misalignment）”的典型现象：机器人在语言上拒绝，但实际上却可能做出违禁行动。

根据美国宾夕法尼亚大学研究团队利用RoboPAIR（机器人提示注入技术）展示的实验，他们成功诱使模拟自动驾驶汽车忽视停止标志并开下桥；也曾让轮式机器人搜索炸弹引爆点，或让机器狗进入禁区进行侦察—这些都是典型的“语言说不能，行动却照做”场景。

另一份在arXiv发布的研究《BadRobot: Jailbreaking Embodied LLMs in the Physical World》更具体指出，使具身AI系统完成危险或违反伦理的行动，可以通过三种方式：“操纵LLM在机器人系统内部运行”、“语言与动作的不对齐”，以及“依赖世界知识的误理解”，这些漏洞揭示了越权执行行为可能并未显现在语言上。

这些实验证明，提示词漏洞不只是让聊天机器人语言出错，更可能驱使多模态机器人执行不当且危险的行为，成为越来越迫切的安全问题。

多模态机器人通常搭载摄影机、麦克风、红外线、雷达与深度传感器。VicOne指出，这虽然提升了机器人的灵敏度，但也意味着攻击者可从更多入口下手。

例如，攻击者可同时用激光致盲摄影机、再用超声波干扰麦克风，让机器人同时在“看”与“听”上都出现误判，最后做出危险决策。

VicOne在白皮书中警告，多模态AI机器人带来便利，但同时也引入前所未有的安全挑战。“它们比人类更快、更聪明，但也比人类更容易被骗。”一旦这些机器人走进医疗、交通与家庭等领域，安全不再只是计算机问题，而将成为公共安全议题。