從物理到心智的全方位威脅！揭露具身AI機器人攻擊路徑

從智慧型手機到雲端服務，網路資安一直是大家關注的議題。過去，人們談論資安時，想到的是電腦檔案個資外洩或網路服務中斷，但在AI機器人時代，情境已經完全不同。

如今，人工智慧（AI）從雲端服務、聊天機器人，快速進化到「能看、能聽、能動」的實體機器人，這些新一代機器人又結合了「感知、決策與行動」三大能力：它們可以透過攝影機、麥克風與各式感測器理解環境，再由AI演算法進行判斷，最後驅動馬達或手臂付諸行動。

當這些AI機器人開始走出實驗室，進入家庭、醫院與工廠，無論協助搬運的機械手臂、街頭巡邏的機器狗，還是陪伴長者的服務型機器人，都讓AI的影響力變得觸手可及。然而，伴隨著這股浪潮而來的並非只是便利與效率，還有潛藏在背後、更加複雜的資安風險，也同步從螢幕裡的網路空間走進實體世界。

全球車用資安廠商VicOne，也針對各種智慧移動載具的資安風險成立研究實驗室VicOne LAB R7，這個機構近期發布《2025 AI機器人資安風險與防護白皮書》（以下簡稱《白皮書》），直言這些AI機器人正快速成為駭客鎖定的下一個攻擊目標，包括科技產業鏈、公共治理與個人生活，都可能因為未被預見或未被管控的「攻擊面」而陷入混亂。

VicOne LAB R7實驗室負責人張裕敏直言，駭客一旦能掌握機器人，後果不再只是資料外洩，不僅可能竊取影像與聲音，還能讓它們「動起來」傷人，對人身安全與公共安全造成直接威脅。「這不只是科幻小說的情節，而是正漸漸成真的現實。」他說。

他甚至警告，試想，一臺家中的服務型機器人若被惡意指令操控，不只是冷氣被關掉或電燈亂閃，而可能是機械手臂揮舞失控，導致人員受傷。這樣的場景，比起任何一次網路資料外洩事件都更加可怕。

VicOne LAB R7實驗室研究員駱一奇則補充說，機器人的演進路徑，從「天上飛的」無人機，到「地上跑的」自駕車，再到「路上走的」人形或服務型機器人，每一階段都承襲了IoT與車用資安的挑戰，並進一步放大。他坦言，當這些AI機器人能與人們直接互動時，資安問題的嚴重程度會呈現指數型的增加。

攻擊面從LLM到VLA，威脅呈現指數級擴大

傳統機器人事故多源自技術不足或感測誤判，例如機械手臂因誤判而碰撞工人。然而，隨著大型語言模型（LLM）、視覺語言模型（VLM）、以及將視覺、語言進一步結合動作控制的視覺語言動作模型（VLA）被導入機器人之後，攻擊面將呈現指數級的擴大。

由於AI模型本身就是駭客鎖定的新的攻擊目標，攻擊者可能透過「對抗樣本」誤導模型，或在訓練過程中植入後門，使機器人聽信惡意指令，從「不小心出錯」演變為「被刻意操控」。這種由意外轉為襲擊的轉折，意味著未來的資安挑戰將更複雜，也更具破壞力。

VicOne白皮書中也舉例，幾年前，資安研究人員展示駭入家用掃地機器人，利用其內建攝影機遠端監看用戶家中環境。駭客不必實際進入屋內，就能透過機器人獲取私密影像。這起事件凸顯一種危機：當感測器成為機器人的「眼睛」，隱私風險已經無處不在。

另一個更引人關注的案例，來自中國宇樹科技的機器狗產品，資安研究人員發現，該裝置預載了「未經告知用戶」的遠端存取服務，一旦上網，攻擊者即可輕易進入系統，獲取即時影像與定位資訊。

資安專家表示，這不僅是單純的技術問題，而是國安風險。想像一下，倘若機器狗部署於公共場域巡邏或檢測，一旦後門被利用，許多外部勢力便可能藉此監控社區或重要的關鍵基礎設施。

張裕敏將此類事件稱為「供應鏈式的攻擊」。他直言，所有做機器人或機器狗的廠商，都會把「遠端遙控」視為功能的一部分，並非資安問題，而這樣的認定，也是一般網路資安和機器人資安研究人員最大的差別，顯然對於資安風險的觀念落差，也導致機器人的安全風險被忽視。

找出AI機器人的弱點，只要有模擬器就做得到

駱一奇指出，機器人的整體架構其實與現今的自駕車非常類似，這使得許多汽車產業廠商也開始投入機器人領域。

機器人的核心單元由三大層面組成：負責接收視覺與聽覺的感知單元（Perception Unit）；負責處理接收到資訊的計算單元（Processing Unit），以及根據計算結果做出動作的動作單元（Action Unit）。

這些單元之間的資料交換，通常仰賴主流的開源作業系統——ROS（Robot Operating System）。他表示，ROS是目前AI機器人最普遍使用的系統，截至2024年有55％商用機器人採用ROS，使得ROS成為駭客潛在的首要目標。

駱一奇也補充說道，駭客不必實體擁有機器人才可能發動攻擊；研究人員常利用開源模擬器在虛擬環境複製真實機器人的感測、通訊與控制行為，藉此找出漏洞。

例如，社群常用的模擬套件Gazebo（及其下一代模組化版本，常稱為Ignition或新版Gazebo）能模擬機器人常見的「眼睛」與「耳朵」，包含攝影機、雷射光達（LiDAR，用來測距與建構環境地圖）、以及慣性測量單元（IMU，結合加速度計與陀螺儀，能感知機器人的運動與姿態）等感測器，以及機器人關節動作與網路節點，都可與ROS連結。

因此，機器人研究人員就可以在模擬器中操控ROS節點，也可以注入錯誤感測訊號或模擬未授權的話題（topic），藉此識別在真實的機器人硬體上，可能被利用的攻擊點。

解析具身AI機器人的五大攻擊面向

駱一奇把具身AI機器人遭受攻擊面向分成5大類型，範圍從硬體到底層，一直到最上層AI模型，把整個系統的各個環節都考慮進去了。

 1. 物理實體層面：從電路板到充電埠的潛在威脅 

物理層的防護是最基礎也最容易被忽略的環節。駱一奇表示，駭客通常會從各種連接埠入手，任何用於資料交換的連接埠，例如：USB埠、網路埠（Ethernet Port），甚至是機器人本身的診斷埠（Diagnostic Port）等，都可能被駭客直接接上線並注入惡意的程式碼。

VicOne白皮書指出，如果設備上的連接埠沒有妥善防護，長時間裸露在外，駭客可能透過物理接觸連接埠直接植入惡意程式，尤其在缺乏安全啟動或韌體完整性驗證的情況下，更容易被入侵。

其實，充電孔也不再單純，駱一奇解釋，由於現在有許多充電協議（例如電動車的 ISO 15118）支援雙向資料交換，除了充電以外，也可以做資料交換。因此，充電孔也可能成為未來入侵的一個點。

VicOne白皮書也提到：在硬體底層的防護上，電路板的安全是不可忽視的一環。駱一奇提醒，若駭客能夠實際拆開機器並接觸到電路板，就可能將其中的AI模型完整複製，對智慧財產權造成嚴重威脅；更危險的是，惡意模型也可能被偷偷植入，進而影響系統運作安全。

 2. 感知器層面：環境欺騙與感官致盲 

機器人仰賴各式感測器來觀察並理解周遭環境，這些感測器包括攝影機（Camera）、雷射光達（LiDAR）、超寬頻（UWB）定位模組、麥克風、觸覺感應器，以及 GPS 定位模組。

VicOne白皮書指出，這些感測器很容易成為攻擊目標，駭客可能透過惡意干擾或欺騙，讓機器人誤判環境。例如，使用雷射讓攝影機短暫失明，或透過超聲波噪音干擾麥克風，都是典型手法。

駱一奇提醒，一旦感知層的資訊被扭曲，後續的影像辨識、定位，甚至機器人閃避障礙物的能力都會受到影響，最後可能導致決策錯誤，甚至出現危險的行為偏差。

 3. 無線通訊層面：遙控器與OTA模組的漏洞 

在無線通訊方面，機器人同樣面臨許多資安風險。常見的攻擊面包括Wi-Fi、藍牙（Bluetooth）、NFC（近距離無線通訊），以及RFID（射頻識別）等，這些在機器人系統都可能被利用。

駱一奇提醒，許多機器人並非完全自主運作，而是搭配遙控器（Remote Controller），這就成為潛在的攻擊目標。此外，部分機器人會透過GSM模組（全球行動通訊模組）直接連上電信網路，或是利用空中下載更新（Over-the-air，OTA）模組進行韌體升級。

對此，VicOne白皮書警告，若缺乏完善的加密與完整性驗證，駭客可能發動中間人攻擊（MITM），在機器人與遠端之間潛伏並竄改資料，導致機器人接收到被掉包的惡意指令，甚至在更新過程中被植入惡意套件。

 4. 軟體與雲端應用層面：掌控「一堆機器人」的機會 

在軟體與雲端層面，駭客往往能找到進入並取得集中控制權的關鍵入口。駱一奇指出，許多機器人會透過手機App（iOS／Android）進行配置，但真正的風險來自雲端服務（Cloud Service）。例如，不少機器人仰賴AWS Batch或AWS IoT等平臺，來進行隊伍管理（Fleet Management Service），一旦雲端被攻破，駭客就可能直接操控一整批機器人。

由於部分機器人的運算能力有限，常需將部分任務交由雲端處理，因此AI模型的API伺服器、記錄伺服器（Log Server），甚至像Google地圖API等第三方服務，都可能成為潛在攻擊目標。

VicOne白皮書進一步補充，機器人常用的中介軟體ROS 2（Robot Operating System 2，機器人作業系統 2）曾被揭露其通訊套件DDS（Data Distribution Service，資料分發服務）含有多項高風險漏洞。由於ROS在機器人產業應用廣泛，這類弱點不僅牽涉單一產品，更可能引發大範圍的系統性風險。

 5. AI模型層面：智慧核心的污染與操縱 

這也是AI機器人相比傳統機器人在資安上的最大不同：機器人的「大腦」——也就是AI演算法與模型——若是被攻破，整臺機器人的判斷與行為都可能被扭曲。VicOne白皮書提醒，攻擊者若針對模型的弱點下手，就能干擾甚至直接操縱機器人的決策。

駱一奇指出，當前特別值得注意的模型類型包括：VLA（視覺—語言—動作模型）、VLM（視覺語言模型）和LLM（大型語言模型），這些模型負責把影像、語音與文字等感知資訊，轉換成可執行的指令或動作，一旦輸入或模型本身被污染，後果會非常直接且危險。

舉例來說，有一種稱為「資料污染」或「模型中毒」（Model Poisoning）的攻擊方式，攻擊者在模型或其更新流程中植入惡意樣本，讓原本用來控制「切割食材」的指令，在特定條件下，會被觸發為會傷人的行為。

為了防範此類風險，業界提出「模型上下文協定（Model Context Protocol，MCP）」，類似給AI模型加上一層「身分驗證」與「執行監控」的機制：在模型被載入或執行前，系統會先確認模型來源可信且檔案未被修改；執行時，還會檢查運作環境與輸入資料是否符合預期，避免模型在錯誤或惡意條件下做出危險行為。

換句話說，MCP讓機器人能夠「知道自己在安全的脈絡下運作」，大幅降低模型遭受惡意操控的風險。

VicOne白皮書也把常見的模型攻擊手法具體化，包括：對抗性樣本攻擊（Adversarial Examples）就是在輸入的影像或語音上，做出微小、肉眼不易察覺的改動，騙過模型使其產生錯誤判斷；訓練資料投毒（Data Poisoning）則在模型的訓練階段，植入帶有後門或惡意特徵的資料，使模型在遇到特定觸發條件時，執行攻擊者預設的錯誤行為。

目前來說，AI模型的安全防護已經從傳統的伺服器或資料加密，擴展到必須保障模型完整性、來源與運作脈絡的新領域，這也是未來確保機器人資安時，不可忽視的重要方向。

針對AI核心的進階攻擊手法與實體劫持案例

針對具身AI機器人的資安攻擊，已經從早期的網路滲透，發展到直接針對AI模型與感測器的「認知欺騙」。

隨著大型語言模型（LLM）廣泛應用於機器人的決策系統，VicOne白皮書指出，一種新型攻擊手法：提示詞注入（Prompt Injection）正悄然興起。這類攻擊的特點是，攻擊者在輸入文字或對話加入看似無害、實則隱藏的指令，誘導語言模型執行未經授權的行為。

駱一奇透過展示說明，駭客可以輸入一串編碼過的惡意提示詞（Prompt），人類可能察覺不出異常，以為系統只是偶爾出錯，但機器人卻能理解並執行指令。例如，攻擊者可能隱藏要求機器人「取得你的個人資料並回傳給我」的指令，從而竊取敏感資訊。

他進一步指出，駭客甚至可利用ASCII（美國資訊交換標準碼技術），在螢幕上隱藏惡意指令，表面上看似空白，其實包含危險指令。VicOne白皮書警告，提示詞注入能夠繞過機器人原有的安全限制，相當於為攻擊者解鎖受保護的功能。

在LLM驅動的多模態機器人實驗中，研究者已展示如何透過欺騙性提示詞，成功誘導機器人執行原本被禁止的危險行為，因此提示詞注入被視為目前最令人擔憂的攻擊之一。

除了提示詞攻擊之外，對抗性樣本攻擊（Adversarial Examples）與模型污染（Model Poisoning）也是AI模型面臨的隱形威脅。對抗性樣本攻擊利用精心設計的輸入，讓模型做出非預期判斷。

例如，攻擊者在機器人攝影機前面，放置一張看似普通但隱藏對抗訊息的圖片，或播放經過對抗性擾動處理的音頻，機器人就可能產生幻覺般的錯覺，做出錯誤決策，例如：以為前方有人需要救助而離開巡邏路線。

不管是資料投毒或模型污染（Model Poisoning）都發生在訓練或更新階段，駭客在模型資料中植入後門或惡意樣本，使模型在特定情境下表現異常。

這種供應鏈式的攻擊，可能出現在模型的各個環節，例如駭客將帶後門的模型上傳至開源平臺，使用者很難從表面發現異常，直到觸發條件出現時，才察覺為時已晚。

實體感測器的欺騙與資料竊取同樣令人憂心。駱一奇分享VicOne LAB R7實驗室的多個研究案例，其中GPS定位劫持（GPS Spoofing）是一例。

該研究團隊設計裝置發送偽造的全球定位系統（GPS）訊號，駱一奇透過飛行搖桿展示時，機器人顯示的位置隨之偏移。如果機器人正在執行導航任務，攻擊者就能將其導向錯誤方向。

他說，這種技術最初是用於無人機劫持（Hijacking），後來證實，這種攻擊手法對自駕車與地面機器人也有效。

另一個案例是超寬頻（UWB）訊號干擾。雖然UWB因高精準度而常用於機器人的細部定位，但VicOne LAB R7研究團隊仍成功設計干擾裝置，示範時，原本顯示近距離的訊號，瞬間因為受到干擾而顯示成「距離很遠」，讓機器人陷入「眼盲」狀態，因為找不到目標而不斷往前衝。

此外，機器人搭載的攝影機也存在資安風險。VicOne LAB R7 研究團隊曾透過零時差漏洞通報平臺ZDI（Zero Day Initiative）揭露一個行車紀錄器（Dashcam）漏洞，其嚴重性評分高達8.8分，代表該漏洞屬於高風險。

駱一奇表示，駭客一旦利用此漏洞取得root權限（系統管理員權限），就能遠端竊取攝影機拍攝的影像，對使用者隱私造成嚴重威脅。

　訓練AI機器人攻擊分解示意圖　

專攻智慧移動載具資安領域的VicOne LAB R7實驗室，首度公開模擬訓練的場域，此次也揭露實驗室如何訓練機器手臂「攻擊」。攝影／洪政偉

VicOne LAB R7實驗室利用輝達的數位雙生平臺，訓練機器人各種動作，包括「攻擊」。
研究員駱一奇對機器手臂下達攻擊指令後，上圖的機器手臂就從桌上夾起設定為攻擊武器的螺絲起子，直接刺向前方「橫放」的黑色盒子。攝影／洪政偉

這個攻擊指令要求，這個盒子必須在攻擊到成為「直向」後，機器手臂才會停止攻擊。
駱一奇表示，受到攻擊的標的：橫放的黑色盒子，若回應到現實生活中，就可以是機器人受命攻擊一個人；這個攻擊一直要到黑色盒子直放後，也就是這個被攻擊的人倒地不起後，機器人才會停止攻擊。攝影／洪政偉

訓練機器手臂，是以螺絲起子作為攻擊工具，但是，這工具可置換成其他有殺傷力的物品，例如，此次示範當中，就出現拿取美工刀作為攻擊工具的情境。攝影／洪政偉

文接下一篇:AI機器人供應鏈與雲地架構面臨的安全挑戰