从顺从到失控：AI 赋能下具身智能漏洞挖掘的新路径

本文内容源自首届 NCC 白帽大会的分享主题《从顺从到失控：AI 赋能下具身智能漏洞挖掘的新路径》，并融合了会后的深度反思。文章重点阐述了 AI 漏洞挖掘技术在具身智能安全领域的实际应用与实践经验。

正值 Claude 发布其最新模型 Fable 5 与 Mythos 5 之际，网络上实测反馈此起彼伏，讨论热度居高不下。

作为一名安全从业者，我反而觉得比 Mythos Preview 刚问世时少了几分焦虑。

这不仅源于近期的亲身试用及网络上大量的吐槽声浪，更基于两点核心逻辑判断：首先，经过两个多月的酝酿，Claude 最终将 Mythos 模型推向商用，这说明此前的宣传带有浓厚的营销色彩，且程度颇深；其次，若 Mythos 模型真具备毁天灭地的能力，强权机构绝不可能任其面世，毕竟他们追求的是有序的利益收割，而非未知引发的混乱。

基于上述分析，我们有理由保持乐观。在模型日益强大的今天，只要我们主动接纳并深度利用大模型，总能找到那些 AI 尚不擅长、而人类努力即可触及的领域。让我们共同努力，以此共勉。

设想一个再平常不过的场景：你在园区内漫步，一台配送机器人静静从身旁驶过。它似乎只是沿着预设路线运送货物，与你擦肩而过，看似毫无威胁。

然而，一旦其背后的账号体系、通信链路、固件或硬件接口中任一环节被攻破，它便可能不再“顺从”——擅自修改路线、开启舱门，甚至冲破原本被严格限制的安全区域。

那台与你擦肩而过的机器人，究竟是在执行配送任务，还是已沦为他人手中的工具？

这正是具身智能安全与传统网络安全的本质区别所在。

传统安全事件通常局限于账号、数据及系统层面；而具身智能设备一旦受控，风险将沿着“感知、决策、执行”的闭环传导至物理世界。漏洞不再仅仅是屏幕上的警报，更可能演变为真实空间中的危险行为。

在本次研究中，我们对市面上主流头部具身智能设备进行了安全剖析，揭示了一个值得行业高度警惕的事实：

发现 20 余个漏洞，其中高危及以上漏洞超 10 个，涉及 3 家厂商，覆盖硬件、固件、通信、应用及云端等多个层面。

这些问题共同指向两类潜在后果：

第一类是迫使设备“顺从”。攻击者可绕过业务控制链路，驱使设备执行非预期操作。

第二类是诱导设备“破坏”。当控制进一步深入到底层权限、近场通信或硬件执行链路时，设备可能突破避障机制、跨越区域限制，甚至引发人身安全事故。

所谓具身智能，指的是拥有物理实体、能够感知环境并与之交互的智能系统。其典型形态涵盖四足机器人、人形机器人、配送机器人、酒店服务机器人、巡检机器人以及智能汽车。

这类设备的共性在于：它们不仅“会计算”，更“会行动”。

因此，具身智能安全面临的是一条更为漫长的风险链条：

从 APP 到云控平台，从近场通信到本地网络，从固件到硬件接口，再到电机、舵机、传感器和执行器。任何一环失守，都可能向下一环蔓延。

这与传统网络安全形成了鲜明对比：

换言之，具身智能设备的安全问题，核心不在于“能否被黑客入侵”，而在于“被入侵后能执行何种实际的物理操作”。

综合现有的漏洞挖掘成果，本次研究覆盖了多层面的攻击面。

在硬件层面，若 UART、JTAG/SWD、USB/ADB、GPIO 等接口在量产设备中未被禁用或进行物理封堵，就可能成为固件提取、启动日志读取、Shell 获取及权限提升的入口。

在固件层面，风险更为集中，且具备显著的供应链放大效应。典型问题包括：

这些问题的危险之处在于：它们往往并非单台设备的配置失误，而是可能波及所有同型号设备。一旦密钥、后门或默认凭证泄露，风险将从“单点漏洞”演变为“批量危机”。

在通信层面，BLE、WiFi、Mesh、DDS、CAN、MAVLink、MQTT、WebRTC、HTTP API 等链路均可能暴露出各类问题。例如重放攻击、命令注入、热点伪造、未认证接入、主题劫持、信令伪造、认证绕过等。

尤其值得关注的是内部协议。许多具身智能系统在设计时默认“内部网络可信”，但在真实攻击场景中，一旦近场通信（如 Mesh 网络）或本地链路被突破，内部协议缺乏认证的问题将被迅速放大。

从攻击效果来看，可将具身智能设备的攻击链归纳为两类。

第一类是业务权限控制链，即实现“顺从”。

攻击者从 APP 或云控平台切入，利用鉴权绕过、越权控制、接口缺陷或业务逻辑漏洞，下发非预期指令，最终促使设备在业务层面执行动作。

此类攻击的关键在于：设备看似仍在执行“合法指令”，但指令