AI机器人的供应链庞大而复杂,从底层固件到高端AI模型,每一个环节都可能成为黑客的突破口。

VicOne白皮书指出,机器人搭载的软件堆栈有非常多的层次,包括底层固件、操作系统、中间件(如ROS/ROS2),以及各式第三方函数库。

防范第三方组件漏洞与恶意后门

这些第三方组件中潜藏的漏洞或恶意后门,长期以来都是供应链攻击的主要途径,尤其在特定的地缘政治背景下,若机器人硬件或底层软件来源存在信任疑虑,产品可能被预置不为用户知晓的监控功能。之前,中国宇树科技的机器狗发生内置远程后门的事件,就充分显示了这种担忧的现实性。

重视固件的安全性与更新机制

固件的安全性同样不可忽视。为防止恶意程序被植入,机器人应激活安全开机(Secure Boot)机制,确保系统仅加载经过信任签章的固件镜像文件。

骆一奇提醒,许多机器人保留固件更新或调试接口(如USB连接端口、UART串行端口等),如果缺乏适当的访问控制,攻击者就可能通过实体连接,直接刻录恶意固件。

此外,软件更新流程(OTA)也必须进行数字签名验证及传输加密,才能确保更新来源可靠,并杜绝黑客通过假更新植入恶意程序的可能。

此外,AI模型的供应链安全风险同样不容小觑。许多机器人依赖开源社交媒体或第三方基础模型,模型的来源真伪与完整性成为关键。

确保模型来源真伪与完整性

VicOne白皮书指出,攻击者可能将带有木马后门的模型上传至开源平台,或在模型发布流程中,将原本正常的文件替换为被植入后门的版本。

即使模型来源看似可靠,开发阶段预先埋藏的后门也可能在特定场景下被触发,例如:训练图像模型时,喂入带特殊水印的图样作为触发键,攻击者只要在现实环境中,展示触发图样或关键词,机器人就可能立即改变行为。

不仅如此,模型的提取与逆向工程也大幅提高了攻击者的能力。黑客可以通过大量查询来推测模型权重,或利用旁信道攻击(Side-Channel Attack)分析系统在运行时产生的电磁波、功耗或内存访问行为,以间接取得模型资讯。

更有甚者,他们可能直接入侵机器人设备下载模型文件。一旦模型被成功提取,不仅意味着知识产权遭窃,攻击者还可以在自己的设备上深入分析模型的弱点,进而研发出更隐蔽、有效的攻击手法。

重视云计算部署与通信安全

云计算与终端的混合架构为智能机器人带来强大功能,同时也引入部署与通信上的安全风险。VicOne白皮书指出,当AI模型或软件从云计算服务器部署到机器人终端时,如果传输过程中缺乏充分保护,黑客可能进行拦截或中间人攻击。

因此,OTA下载更新流程必须具备严格的安全防护,包括全程加密的传输信道与数字签名验证,以确保更新来源可靠,内容不被篡改。

云计算服务本身也可能成为攻击目标。一旦云计算服务器遭入侵,黑客就能对所有连接的机器人下达恶意指令或假更新,引发大规模连锁效应。

API安全不容忽视

VicOne白皮书特别提醒,API(应用程序界面)的安全不容忽视,因为机器人通常通过API与云计算服务沟通,如果验证或授权管控不严,黑客可能伪造合法请求操控机器人,甚至发动拒绝服务攻击。

此外,机器人在运行过程中会将感知到的环境数据,包括形象、音频等,上传至云计算。如果数据传输没有充分保护,黑客就可能拦截这些形象,对用户隐私造成严重威胁。VicOne白皮书建议,机器人设备与云计算之间的通信应采用端对端加密,确保数据在传输过程中安全可靠。

多感知、多技能的机器人与未来攻击挑战

随着AI机器人技术快速演进,尤其是多模态模型的应用,新的攻击方式正在浮现。所谓多模态机器人,指的是能同时理解形象、语音、文本等多种资讯的机器人,被视为通用AI助理的重要发展方向。然而,VicOne白皮书提醒,这也让攻击者获得更多可乘之机会。

跨感知的对抗攻击是其中一种手法。黑客若针对视觉、语言等多个感知渠道注入精心设计的对抗性扰动,就可能使机器人的整体决策出现偏差。研究显示,仅靠一张精心设计的对抗图片,就能操纵多模态AI机器人执行攻击者设置的任务。VicOne白皮书指出,随着感知渠道增多,攻击者甚至可以利用多渠道的协同效应放大攻击效果。

另一个值得关注的威胁来自大型语言模型的越权操作与越狱(Jailbreak)攻击。多模态机器人的核心决策单元往往依赖LLM,一旦输入被恶意操控,整台机器人的行为可能随之偏离原本设置。

2024年的一项研究,首次展示了对实体机器人进行LLM Jailbreak(LLM越狱)的方法,成功诱导受测的人形机器人,它在实验环境中违反默认规则,执行具攻击性的行为。

VicOne白皮书指出,多模态机器人面临的风险主要来自三方面,分别是:黑客可能通过内部或外部手段操控LLM;动作决策与语言回复缺乏安全同步约束;甚至可以利用知识的不完备,误导机器人做出危险行为。这些漏洞都会使多模态机器人,有可能违背原本设置的安全规则,对人类安全构成新威胁。

除了感知与语言的攻击,技能扩展也带来安全挑战。许多机器人厂商开始提供“机器人即服务”(Robot-as-a-Service,RaaS)模式,让用户能通过线上平台,依照需求下载新的功能模块或技能。

骆一奇指出,这种方式使得机器人拥有类似智能手机的应用生态,但VicOne白皮书提醒,若这些技能或模块没有经过严格审查,攻击者可能将恶意软件伪装成新技能上传。当用户安装带有恶意程序的技能,就等于将木马或后门程序,亲手引入机器人系统中。

技能模块本身的复杂性也是风险之一。VicOne白皮书举例,如果家用机器人下载一个料理牛排的技能,但语义处理存在缺陷,可能将“烹煮牛排”误解为“烹煮生物”,引发严重灾害。骆一奇强调,每添加一个技能,就等于引入新的未知风险,因此,在安全设计上需要额外保障与监控。

通过RTM机器人威胁矩阵,描绘AI攻击路径的系统化框架

为了将抽象的威胁趋势落地成“可测、可管、可演练”的战术、技术与程序(TTP)清单,VicOne LAB R7实验室在VicOne白皮书中,提出Robot Threat Matrix(RTM)V1.1。

RTM是采用传统安全上常见的MITRE ATT&CK框架,并在其基础上,加入两个针对机器人的专属维度,而且,在末端增加真实世界效果层,使威胁可从感知与AI模型层,经由网络与系统层,延伸至实际物理行为的完整路径。

RTM框架的设计参考了汽车威胁矩阵(Auto-ISAC Automotive Threat Matrix,ATM),在原有汽车攻击手法的基础上,增加与修改适用于AI机器人的攻击点。骆一奇表示,这些添加内容,反映了机器人在具备AI功能后,可能面临的特定安全风险与更广泛的攻击面向。

在AI模型操纵(AI Model Manipulation)方面,RTM框架添加了几类攻击手法,包括训练数据投毒(Training Data Poisoning)、模型后门植入(Model Backdoor Implantation)、以及知识库或对话记忆污染(Knowledge Base/Conversational Memory Poisoning)。这些正是AI机器人实务应用可能面临的主要安全风险,特别是在自主决策或互动任务场景中,可能直接影响机器人的行为判断。

在感知操纵(Manipulate Perception)方面,原本汽车的攻击手法是操纵环境(Manipulate Environment),例如篡改路标或道路信号。对于机器人而言,由于传感器种类更多样,攻击面自然扩大,因此RTM将这一字段调整为“感知操纵”,涵盖各种通过干扰或伪造传感输入影响机器人行为的手段。

此外,在执行(Execution)与横向移动(Lateral Movement)方面,RTM也纳入针对大型语言模型(LLM)的攻击手法,如越狱提示(Jailbreak Prompts)与提示词注入(Prompt Injection),更极端的场景包括“机器人到万物感染”(Robot-to-Anything Infection),即一个受感染的机器人可能传染给其他机器人,甚至自我复制新的机器人,显示AI机器人在横向扩散上的特殊风险。

骆一奇认为,RTM将威胁从虚拟网络延伸至物理层,并针对AI机器人的特性做了专门设计,使企业能以系统化方式理解、评估并演练机器人安全风险,提供从感知、模型到物理行为的完整威胁概览。

AI驱动下的攻击演化趋势

这个机器人威胁矩阵(RTM)与众不同的地方,在于:关于AI模型的隐患,VicOne白皮书也归纳三大AI驱动下的攻击演化趋势,呈现攻击手法正朝向更智能化、复合化与自动化方向发展。

首先,是关于安全不对齐(Safety Misalignment)的隐患。由于机器人的控制决策通常采用分层架构,高端语言模型负责产生计划,而低层的动作控制模型负责实际执行。

如果这两层之间缺乏一致的安全约束,攻击者就可能利用高层的安全机制掩护低层的不安全行为。换句话说,机器人的语言回复看似遵守规则,但实际执行的动作可能违规,形成肉眼难以发现的安全漏洞。

其次是复合式攻击趋势,未来的攻击将不再是单点突破,而是多向联合作战,攻击者同时针对机器人的传感器制造假环境资讯、拦截或伪造网络通信,以及对AI模型施加对抗扰动。这种多层次攻击策略,不仅可以分散防御方的注意力,也能有效避开单一防御措施,使机器人的整体防护面临更高挑战。

最后是攻击自动化与AI助攻的现象。骆一奇预测,未来的攻击者都将运用AI来强化攻击手法,出现专门针对AI机器人的自动化攻击工具,将不再是科幻小说中的场景而已。

他指出,这类AI攻击工具能自动扫描目标机器人的开放接口或连接端口、推测模型类型,甚至尝试各种已知攻击矢量进行渗透测试,形成攻防双方“AI对抗AI”的对决局面。

骆一奇指出,这些攻击趋势显示:AI机器人的安全挑战正从单纯的系统漏洞,进一步扩展至控制决策、传感器数据与AI模型层级的复合风险,他也提醒,相关的产业界都必须采取全方位的防护策略,才能够应对未来更智能化的攻击场景。

制定法规与防护标准,象征守护人类未来的紧迫任务

面对日益严峻的威胁态势,VicOne LAB R7实验室呼吁产业界,必须从根本改变对机器人安全的态度,特别是在法规定定与设计阶段。

骆一奇指出,目前国际标准(ISO)对机器人的规范,多半只着重功能安全(Function Safety),也即确保机器人不会因软件错误而操作失误,但对机器人的资讯安全(Security)规范付诸阙如。

他提醒,汽车工业发展尽头就是机器人,若机器人产业重蹈汽车产业“不重视安全”的覆辙,黑客可能大幅提前掌握攻击机器人的机会,造成严重风险。

为了实现有效监管,骆一奇建议,机器人应比照无人机的远程识别(Remote ID或是Drone ID)机制,创建类似车牌号或身份编号(License ID)的系统,持续发布机器人的位置、持有人资讯,方便执法单位关注。

同时,他也建议针对购买机器人的用户,也应注册并绑定用户身份。

骆一奇特别提到,随着市场上出现成本不到十万元的开源组装机器人,未来若缺乏法规配套,将很难辨别哪些是合格机器人,哪些是个人组装,“因此,他认为政府的机器人产业发展和安全的配套政策,都必须尽快跟上机器人产业的发展脚步才行。”他说。

在设计层面,VicOne LAB R7实验室强调,机器人研发应该从开始设计的时候,就把安全纳入核心需求之中,并且创建多层次、预防性的防护架构。

骆一奇指出,机器人的保护方案需涵盖硬件、软件、应用程序/云计算(App/Cloud)以及AI模型等多个层面,形成全面性的安全防护。

例如,针对边缘AI(Edge AI)的安全挑战,该公司也提供可微调的AI模型,检测用户对机器人的输入指令(Prompt)是否包含:提示词注入(Prompt Injection)、越狱指令(Jailbreak)或个人身份资讯(PII)泄露等要求,一旦发现有风险,就会拒绝执行该提示词的解决方案。

除了技术防护,行为安全与测试验证同样重要。VicOne白皮书指出,不仅要防止恶意攻击控制机器人,也要防止机器人因内部缺陷误伤用户。因此,提升行为安全的关键手段之一,就是充分利用模拟测试与对抗性验证。

许多AI团队已将红队测试(Red Team)纳入研发流程,由专家扮演攻击者角色,不断挑战机器人的容错与防御能力。另外,对于新模块或神经元的安装,也需验证其搭配AI模型后,是否如设计者预期般的运行。

VicOne白皮书则提出引入“监督式AI守护者(AI Guardian)”概念,通过另一套AI系统持续监视机器人的感知输入与行为输出,当侦测到异常决策时,守护者AI可即时示警甚至阻止执行。

骆一奇呼吁,确保AI机器人安全不可能由单一企业完成,需要整个生态系统的协作,包括产业界、政府单位与学术界,共同创建标准与法规,并促使原厂与组件供应商都能意识到安全的急迫性,真正落实自研发初期,就导入“安全设计”(Secure by Design)概念,才能在享受智能机器人带来便利的同时,将潜在风险降至最低。