2026年是人形机器人行业大发展的状态。

现在最危险的误读，是把“能动起来”当成“能用起来”，再把“能演示”当成“能商业化”。

在具身智能进入规模化部署前夕，什么变得越来越关键？

人形机器人接入大模型、摄像头、麦克风、云端控制系统和本地执行机构，变成了一个能够感知环境、理解指令、做出决策，并把数字世界的判断转化为物理动作的智能体。

这一步带来的变化很大。

过去AI出错，最常见的后果是一段错误文字、一张错误图片，或者一次服务中断；机器人出错，后果可能是碰撞、跌倒、夹伤、隐私泄露，甚至被远程劫持后执行危险动作。

人形机器人安全的核心问题不是“让模型更善良”这么简单，而是要让机器人在真实世界里理解情境、识别边界，并在模型犯错、传感器受干扰、云端权限异常、控制链路被攻击时，仍然有足够强的兜底能力。

最值得行业警惕的地方：机器人能力上限正在快速提高，但安全下限并没有同步抬高。

具身智能真正走向家庭、工厂、商场和公共空间之前，行业必须先回答一个更朴素的问题——它到底能不能被信任？

01

机器人的风险，

已经从数字空间进入物理空间

传统网络安全的问题，多数还停留在数字空间。账号被盗、数据泄露、服务宕机，当然严重，但影响路径相对清楚。

机器人不同。它有摄像头，有传感器，有无线连接，有云端接口，有本地控制器，还有电机、关节、机械臂和移动底盘。它的完整链路是“感知、决策、执行”。只要其中一个环节被误导，数字漏洞就可能直接转化为物理伤害。

一部最新旗舰智能手机，如果由专业网络安全团队实现远程完整攻破，通常至少需要数月；一辆成熟智能汽车，要实现多域系统全面破解控制，周期可能更长。

但他们对一台市面在售的知名品牌具身智能机器人进行渗透测试，从漏洞识别到远程完整攻破，整个攻击周期不足8小时，这是产业阶段的问题。

当前具身智能产业还处在规模化部署前夕，2025年全球市场规模达到44.4亿美元，人形机器人出货量突破1.3万台，预计2035年部署量将超过260万台，这个行业还没有真正大规模铺开，但安全短板已经提前暴露。

机器人不像手机，可以把风险主要约束在信息和应用层。机器人一旦被劫持，就可能直接影响周边人群。

在GEEKCON2025上海站安全极客大赛现场，两台人形机器人原本可以正常执行“向左转”“向前走两步”等指令，但短短几分钟后，一台联网机器人被攻击者控制，另一台未联网机器人也被近场劫持，最后对假人挥拳。

当机器人进入开放环境，漏洞不再只是设备自己的问题，也可能形成连锁反应。

这里面至少有三类风险。

◎ 第一类是端侧基础防护不足。

白皮书调研中提到，有的机器狗出厂时自带固定且无法修改的热点密码，路人只要连接热点，就可能夺取设备控制权。

这种问题放在早期IoT设备上已经不算新鲜，但放在具身智能设备上，风险级别完全不同。

◎ 第二类是云端权限和通信链路漏洞。

现在很多机器人依赖云端平台管理设备、处理语音指令、调用大模型。如果云端控制面权限管理存在漏洞，攻击者就可能越权访问设备摄像头画面，甚至远程控制机械臂做出危险动作。

家庭场景尤其敏感，因为机器人的摄像头不是普通监控，它可能持续出现在客厅、卧室边缘、老人和儿童活动区域。

◎ 第三类是AI资产完整性失控。

很多机器人为了提升智能性，会把用户语音指令上传到服务器，由云端大模型处理后再返回执行。

材料中提到，部分厂商并未充分校验云端接口真实性，攻击者在同一局域网或近场环境下，可能把机器人原本连接的官方大模型接口篡改成自己控制的恶意地址。

这样机器人以为自己还在听官方模型，其实已经在听攻击者的模型。

这就是具身智能安全和普通AI安全最大的不同：普通AI的输出是内容，机器人的输出是动作。

◎ 一个聊天机器人被越狱，可能输出有害文本；

◎ 一个机器人基础模型被越狱，可能定位附近的人，执行碰撞、抓取、投放、拖拽等动作。

它继承了大模型的脆弱性，又叠加了物理世界的执行能力。

02

只做“模型对齐”，

解决不了机器人安全

现在大模型行业最常用的安全思路，是对齐。让模型学习人类偏好，拒绝明显有害请求，不生成危险内容。

这套办法对聊天机器人有效，因为聊天机器人的危险输出大多是语义层面的。比如用户索要制造爆炸物的步骤，模型拒绝即可。

但机器人面对的是物理世界，安全判断高度依赖情境。

Science Robotics在2026年4月29日发表的论文《Beyond alignment: why robot foundation models need context-aware safety》指出，仅靠让AI“对齐”人类意图，远不足以保证机器人安全。

因为同一个动作，在不同情境下可能完全不同。

◎ 让机器人“把开水从壶里倒出来”，如果杯子在壶嘴下面，这是正常任务；如果一只手在壶嘴下面，同样动作就变成危险行为。

◎ 让机器人“拿起刀”，在厨房切菜是任务，在人群旁挥动就是风险。

◎ 让机器人“快速移动到目标点”，在空旷区域没问题，在儿童旁边就可能需要降速甚至停止。

机器人安全不能只看指令文本本身，而要看环境、对象、距离、姿态、速度、可接触人群、工具属性和任务目的。

论文中还提到，研究者仅仅把攻击提示包装成虚构电影剧本对话，就能欺骗一台商用机器狗，让它定位附近人类并投放爆炸装置。

这个案例之所以重要，是因为它说明机器人基础模型的安全边界，可能被语言包装绕过；而一旦绕过，后果会进入物理空间。

传统机器人安全框架也遇到了新问题。过去机器人运行在受控环境里，控制逻辑明确，动力学模型可描述，安全边界可以提前定义。控制障碍函数（CBF）、紧急停止、机械限位、安全围栏、ISO指南和欧盟机械条例等，都是围绕较确定的系统来设计的。

但基础模型进入机器人控制栈之后，输入变成了多模态：语言目标、视觉场景、开放世界上下文、历史记忆和任务规划。

很多安全相关的信息隐藏在环境变量里，不一定能被传感器完整观测，却又必须在运行时在线推断。

这就让安全问题从“预设规则约束动作”，变成“实时理解情境并约束动作”。

具身智能机器人必须接触声、光、电磁等物理信号，这些信号可能不通过传统软件漏洞进入系统，却能影响传感器和决策链路。

◎ 通过超声信号，可以让机器人做出转身等误动作，无需接触软件或指令；

◎ 通过对抗样本图像，能让视觉动作模型把“抓胡萝卜”误判为“抓烹饪刀”；

◎ 通过诱导攻击，甚至可能破除机器人的价值观约束，让其做出挥手打人、扯电线等危险动作。

国内一家机器人企业在工厂产线直播时，曾因补光过强导致传感器失灵、产线停工。

这类问题不是“黑客很厉害”这么简单，机器人安全的边界比软件安全更宽，包括模型安全、网络安全、云端安全、端侧安全、传感器安全、功能安全和物理安全。

如果企业只把安全理解为“模型不要回答坏问题”，那就低估了具身智能的风险。

03

安全必须成为产品架构，

而不是发布前的补丁

机器人安全真正要补的是一套能力基线，三层护栏可以作为理解机器人安全新范式的框架。

◎ 第一层是声明式护栏。

也就是给机器人一部“AI宪法”，明确哪些场景、对象和动作不可触碰。比如禁止操作武器，禁止在人体危险距离内高速挥动机械臂，禁止越权访问用户隐私数据。这类规则可以写进规划模型的系统提示，也可以用来训练安全探针。

但声明式规则只能解决一部分问题。因为真实世界里，危险不总是以“坏指令”的形式出现，更多时候是好指令遇到了坏情境。

◎ 所以第二层是架构式护栏。

安全必须嵌入控制栈的输入、中间状态和输出多个节点，把规划和执行解耦。

机器人不能只靠一个大模型从头管到尾，而需要外部接地模块、世界模型、信任根模型和执行侧安全层共同工作。

简单说，就是模型可以提出计划，但计划能不能执行，要经过环境理解、权限校验、风险评估和执行约束。

◎ 第三层是算法式护栏。

模型要学会读情景，训练时就要使用与安全上下文相关的数据；部署时还要保留经典控制方法兜底。

论文提到，一项在模拟与现实四足机器人上的研究中，VLM根据视觉观察推理情境依赖的安全约束，再由具有概率保证的CBF强制执行。

结果显示，该系统防止的不安全行为几乎是无上下文推理方法的五倍。

这说明未来机器人安全不是单一技术能解决的，而是分层系统工程。

国内产业也在补课。冀晓宇团队已经构建了涵盖1.5K个安全场景、5000条文本指令、20千条图像数据的安全测评数据集，以及虚实结合的检测评估平台，希望推动行业从“性能打榜”转向“安全打榜”。

这个方向很重要，因为当前具身智能行业太容易被运动能力、交互能力和任务完成效率吸引，却忽略非功能性安全。

RoboSec Top10关键风险清单，也把问题拆得更具体：端侧权限、云端通信、控制逻辑、感知欺骗、AI资产完整性等环节都需要纳入测试。

具身智能安全影响划分为L1至L5五级，从信息泄露到人身伤害逐级递增；任何导致安全兜底失效的漏洞，都属于L4到L5级高风险。

行业需要把机器人安全从“有没有漏洞”升级为“漏洞会造成什么物理后果”。

◎ 比如一个摄像头越权访问漏洞，在普通智能音箱上可能是隐私泄露；在家庭机器人上，就是用户家庭生活被实时观看。

◎ 一个模型接口校验漏洞，在普通App里可能导致错误回答；在机器人上，可能让恶意模型接管决策链。

◎ 一个传感器误识别问题，在手机拍照里只是识别错物体；在机器人抓取里，可能把胡萝卜和刀混淆。

工业机器人领域已经有较成熟的功能安全体系，比如ISO 10218、力控、急停、安全围栏、SIL/PL等级等。

但消费级、科研级和新兴人形机器人领域，很多产品还停留在演示驱动阶段。

部分企业已经建立安全应急响应中心、招募专业安全人才，但不少企业仍处在安全能力空白状态：没有专职机器人安全团队，产品出厂前缺少完整安全测试，漏洞响应机制也不成熟。

从商业化角度看，安全不是功能的对立面，而是功能的一部分。

B端客户不会只看机器人会不会走、会不会拿、会不会对话，还会看它能不能通过采购审计、是否支持权限分离、通信是否加密、日志是否可追溯、异常状态能否降级、漏洞披露后能否快速修复。

C端用户也不会长期容忍一个会炫技但可能泄露家庭画面、误碰老人儿童、被近场信号干扰的机器人。

所以具身智能的竞争：

◎ 表面看是运动控制、世界模型、VLA、多模态理解和成本下降；

◎ 往深处看，是安全架构、测评体系和责任边界的竞争。

真正成熟的机器人公司，还要能回答一组更难的问题：

◎ 异常光照下是否会误判？

◎ 传感器被遮挡后是否会停机？

◎ 云端模型被劫持时是否能识别？

◎ 本地权限被攻击后是否能隔离？

◎ 儿童突然进入行动路径时是否能降速？

◎ 机械臂靠近人体时是否有硬约束？

◎ 用户数据是否默认脱敏？

◎ 漏洞披露后是否有响应SLA？

这些问题不好看，也不适合发布会炫技，但决定机器人能否从实验室和展台进入真实世界。

小结

具身智能的下一阶段是让它在复杂环境里更可靠。

机器人越智能，越不能只靠“善良的大模型”来保证安全，需要声明式规则告诉它什么不能做，需要架构式护栏确保错误计划不能直达执行端，需要算法式护栏让它理解具体情境，也需要传统功能安全在最后一米强制兜底。

行业现在需要转换一个评价标准：从“性能打榜”走向“安全打榜”，对于具身智能来说是商业化入场券。

       原文标题 : 人形机器人安全：具身智能商业化的核心入场券