2026年，被行业普遍视为具身智能的“爆发元年”。根据《2026年具身智能产业发展研究报告》以及国际数据公司（IDC）的调研数据显示，中国具身智能领域2025年全年投资规模已达380亿元，参与企业超600家；全国具身智能企业230家，人形机器人企业150家；全球机器人硬件市场规模约300亿美元，其中中国市场占110亿美元。

政策层面，具身智能首次被写入2026年国家政府工作报告，工信部于2025年12月成立人形机器人与具身智能标准化技术委员会，并于2026年2月正式发布标准体系。

高速扩张的产业图景背后，一个关键矛盾日益凸显：技术演进速度远超安全能力建设节奏。百度智能云云安全部场景安全负责人王泰格在第三届中国具身智能与人形机器人产业大会上分享了《具身智能安全风险洞察及解决方案》主题演讲，并在会后接受机器人大讲堂记者采访。王泰格系统揭示了当前具身智能面临的真实安全风险图谱，并指出行业正处于“风险已显性化，但防护体系尚未成型”的关键拐点。

01.

具身智能已被验证的三类真实威胁！

具身智能的安全风险并非理论推演，而是已在真实场景中反复验证的现实威胁。王泰格例举了三类已被验证的真实威胁。

第一类是远程控制风险。百度研究人员已在多款行业头部机器人上实现了远程劫持攻击验证，不仅实现状态监控，更可执行具体控制指令。其技术路径包括：逆向分析获取设备密钥、MQTT网络破解、设备近场通信链路劫持等。实际攻击演示中，研究人员通过笔记本电脑远程操控机器狗，使其播放异常音频、切换灯光模式、执行大幅非预期动作。更值得警惕的是，该技术可立即迁移到商用场景，在展会等开放环境中，用于引流营销的机器人极易成为攻击目标，攻击者可操控其执行破坏性行为，造成物理伤害或社会恐慌。

第二类是知识产权泄露风险。端侧模型保护薄弱是普遍现象：研究者可提取机器人内置的运动控制模型，并在本地环境复现其功能。提取后的模型可在普通电脑上驱动仿真环境，其运动轨迹与真实机器人高度一致，这意味着技术壁垒可被低成本绕过，核心算法极易被复制与移植。内网泄露则源于人员流动与权限管理缺陷，当核心工程师离职或权限管控不严格时，训练数据、核心模型、机密资料等高价值资产面临被系统性窃取的风险。在模型即竞争力的具身智能赛道，此类泄露直接削弱企业的核心优势。

第三类是行为决策诱导风险，代表了AI原生安全挑战。其一为“数据投毒”：很多厂商广泛采用开源数据进行模型训练，攻击者可在数据集中实施数据投毒攻击，使模型在常规测试中表现正常，仅在特定条件下（如特定人脸、场景标识）触发，并输出错误决策。该风险高度隐蔽，传统测试难以覆盖。其二为“智能体决策欺骗”：通过外部输入（如语音指令、视觉输入）干扰AI“大脑”的推理过程，诱使其执行非预期动作。王泰格明确指出，此类攻击手段在其他AI领域已高度成熟，具身智能因其物理交互性，风险被显著放大。

这三类风险共同指向一个核心问题：具身智能的“身体”（硬件执行层）与“大脑”（AI决策层）尚未形成协同防御体系。与传统IoT设备相比，具身智能机器人的软硬件架构复杂得多，安全攻击面也随之扩大。与自动驾驶相比，两者虽有诸多可复用的安全方案，但在失效管控上存在本质差异，自动驾驶失效后需人类接管，具身智能则必须尽可能安全地原地停止，防止意外事故，并且具身智能机器人安全会考虑更多用户交互、智能体安全相关问题。这意味着已有安全方案无法直接照搬，行业需要建立专属的安全能力体系。

02.

意识薄弱、能力不足、标准待完善，具身智能安全的系统性短板如何破？

当前行业安全建设呈现明显的三大特征：安全意识薄弱、专业的安全能力储备不足、标准体系暂未建设完成。三者相互叠加，构成了具身智能安全建设的系统性短板。

在安全意识层面，多数企业仍处于“重功能、轻安全”的惯性思维中。大部分企业资源优先投入运动控制功能研究，很少有精力投入真正的安全能力建设。机器人研发领域与信息安全领域之间存在较大的知识鸿沟，许多企业对信息安全缺乏系统性理解，更没有意识到安全缺陷会对品牌与经济造成真实影响。初创企业更甚，管理层常将安全视为研发完成后的“附加项”，而非产品设计的“内生要素”。王泰格在采访中直接指出：“安全必须伴随产品研发过程同步建设，若产品开发完成再补安全，将导致大量功能返工，浪费时间、人力与金钱成本。"

在安全能力层面，能力断层突出。头部企业（如宇树、智元等）已组建专职安全团队，定期开展攻防演练；但据百度调研，目前接触到的机器人企业中，80%以上没有真正的安全团队，整个企业里没有人能懂安全，更不要提做真正的安全开发。安全人才极度稀缺，既懂机器人本体控制、又通晓信息安全能力及产品建设的复合型人才凤毛麟角。此外，安全边界的设定也是普遍难题：安全不存在绝对标准，企业普遍缺乏有效方式去界定“做到多安全算安全”，导致投入决策缺乏依据。

在标准体系层面，当前处于“建设加速但尚未落地”的过渡期。整个机器人领域目前还没有信息安全标准正式落地，但大量国标和行标已在同步推进建设中，百度团队已参与到所有相关国行标的制定工作。王泰格预计，2026年将有具体行标落地，国标紧随其后。值得注意的是，中国在标准建设速度上已与国际同步，这为国内企业争取了宝贵窗口期，但也意味着国际竞争将迅速转向合规能力的比拼。

03.

从“最小可行方案”到全生命周期闭环，这条路怎么走？

面对紧迫形势，企业需摒弃“等标准发布再行动”的被动策略，转向主动构建安全能力。王泰格提出了一套务实路径，可分为“最小可行方案”与“全周期体系化建设”两个层次。

对于安全基础薄弱的初创企业，其建议的优先三件事极具操作性：第一，提升管理层安全意识，安全投入需由CEO/CTO亲自推动，将其纳入产品核心目标；第二，快速搭建专业安全团队，规模不求大，但必须有专业安全人员能对整个企业的信息安全工作进行总体管理；第三，建设安全能力，这部分对于大多数企业仍需依赖百度等第三方供应商赋能，而非从零自建。

在此基础上，企业需建立覆盖产品全生命周期的安全能力框架。百度提出的五阶段模型提供了清晰路线图：概念设计阶段开展TARA分析，明确安全目标与需求；研发阶段集成安全基座、实施代码审计与漏洞扫描；测试阶段开展模糊测试、攻防渗透测试；认证阶段由专业的安全团队进行指导，依据国行标进行合规测试及产品建设，待标准落地后获取相关国行标认证；量产与运维阶段部署安全OTA、远程诊断、机器人安全运营中心。

百度的整体安全体系以“攻防驱动”与“合规驱动”双轮并行为核心逻辑：底层是安全基座管理系统，中层是安全运营平台、安全OTA、漏洞扫描等产品，上层延伸至VLA模型训练数据毒性检测等前沿能力。合规产品建设复用真实攻防能力建设经验，而攻防发现的问题又反哺推进行业安全标准建设水平，两者形成正向循环，而非割裂的两套体系。

04.

百度如何把机器人安全从“补丁”变成“基因”？

安全能力的建设，最终要落到“谁来做、怎么验证”的问题上。王泰格对此有清醒判断：对于绝大多数机器人企业而言，从零自建安全体系既不现实，也不经济，更务实的路径是借助百度这类已在攻防实战中积累深厚经验的第三方供应商快速补位。

这一判断背后有现实依据。百度在具身智能安全领域的积累并非来自纸面推演，而是源于真实攻防实践。从大量行业头部机器人实际渗透测试经验，到对多款商用机器人端侧模型的提取与仿真复现，百度已系统性地摸清了当前行业的安全薄弱环节。这些攻防经验直接转化为产品能力，安全基座、TARA自动化分析平台、VLA模型训练数据毒性检测等，均是从真实威胁场景中反向推导出的解决方案，而非凭空设计的功能模块。

在王泰格看来，具身智能的安全挑战与传统IoT或自动驾驶存在本质差异，不能简单复用已有方案。机器人同时具备物理执行能力与AI决策能力，一旦被攻击者劫持，后果不仅是数据泄露，更可能是真实物理空间中的破坏行为。这种“数字攻击→物理伤害”的传导链路，要求安全防护必须覆盖从通信层、模型层到运动控制层的全栈纵深，而非单点加固。

对于行业未来走向，王泰格的判断是：随着2026年行标落地，安全合规将从“加分项”逐步演变为市场准入的隐性门槛。即便行标本身不具备绝对强制性，获得认证也将成为企业在采购、融资、出海等环节的重要背书。更关键的是，安全建设必须与产品研发同步推进，等产品开发完成再补做安全，意味着大量功能模块需要返工重建，浪费的时间与资金成本远超提前布局的投入。留给企业的窗口期，比多数人预想的要短。

05.

结语与未来

具身智能的真正考验，不仅在运动控制，而更在安全可信，当机器人步入企业、工厂与家庭，每一次决策都关乎人身安全与社会秩序。王泰格表示：“当前风险并非源于技术极限，而是安全意识滞后与投入错配。远程劫持、模型窃取、语音欺骗等攻击已可实战复现，警示我们：安全不应是产品发布后的‘补丁’，更应该是嵌入到研发基因中的底层能力。”百度以“攻防驱动+合规驱动”双轮并进，将真实威胁场景转化为TARA自动化分析、安全基座、VLA数据检测等可落地的工具链，为行业提供从0到1的赋能路径。