摘要：近日，复旦大学、上海人工智能实验室和Sea AI Lab的联合研究团队揭示了一项令人震惊的发现：针对视觉-语言-动作大模型的安全漏洞，能够通过一张精心设计的对抗图片，让最先进的机器人模型陷入“瘫痪”状态。

当机器人的视觉系统被一张看似普通的图片干扰，它可能会陷入完全“宕机”状态——这不是科幻电影，而是当前机器人技术面临的真实安全威胁。

近日，复旦大学、上海人工智能实验室和Sea AI Lab的联合研究团队揭示了一项令人震惊的发现：针对视觉-语言-动作大模型的安全漏洞，能够通过一张精心设计的对抗图片，让最先进的机器人模型陷入“瘫痪”状态。

摘要

视觉-语言-动作（VLA）模型通过使智能体能够解读多模态输入并执行复杂的长期任务，正推动机器人技术取得快速进展。然而，其安全性及对抗攻击的鲁棒性仍存在大量未被探索的领域。本研究发现并形式化定义了一种关键对抗漏洞：对抗性图像可使VLA模型陷入“冻结”状态，导致其忽略后续指令。这种威胁实质上切断了机器人数字思维与物理动作的连接，可能在关键干预时刻引发行动失效。为系统研究该漏洞，我们提出FreezeVLA新型攻击框架，通过最小-最大双层优化生成并评估行动冻结攻击。在三种尖端VLA模型和四个机器人基准测试中的实验表明，FreezeVLA平均攻击成功率达76.2%，显著超越现有方法。此外，该框架生成的对抗图像具有强转移性——单张图像即可在不同语言提示下可靠地诱发系统瘫痪。我们的发现揭示了VLA模型中存在关键安全隐患，凸显了构建强健防御机制的紧迫性。

这种名为FreezeVLA的新型攻击方法，在实验中取得了平均76.2%的攻击成功率，在某些情况下甚至高达95%以上。这意味着，在无需物理接触的情况下，攻击者就能让工业机器人、服务机器人或其他智能体“视而不见”，拒绝执行任何指令。

机器人“大脑”的安全盲区

视觉-语言-动作模型是现代机器人技术的核心突破，它使机器人能够理解自然语言指令，解析视觉场景，并执行相应的物理动作。从谷歌的RT-2到各类开源VLA模型，这些技术正推动机器人进入一个全新的智能时代。

然而，随着能力的提升，安全隐患也日益凸显。与传统攻击旨在让机器人“执行错误动作”不同，FreezeVLA攻击的目标更为隐蔽——让机器人彻底“罢工”。在工业自动化、医疗手术等高风险场景中，这种“动作冻结”可能导致严重后果。

FreezeVLA攻击机制解析

FreezeVLA的核心创新在于其最小-最大双层优化策略，这一方法模拟了一场“左右互搏”的自我训练过程：

内部最大化阶段：算法首先寻找最难以被冻结的指令变体。通过梯度分析和同义词替换，将原始指令（如“把胡萝卜放到秤上”）强化为更鲁棒的版本（如“把胡萝卜放到称重机上”）。这些“硬核指令”对攻击具有更强的抵抗力。

外部最小化阶段：针对上述硬核指令集，算法生成一张对抗图像，目标是最大化机器人看到该图像后选择“冻结动作”的概率。这种设计确保了生成的对抗图像具有强大的跨指令泛化能力。

这种双向优化过程使FreezeVLA能够生成通用性强的对抗样本，一张图片即可应对多种指令，大大提升了攻击的实用性。

实验验证与结果分析

研究团队在三个先进VLA模型（SpatialVLA、OpenVLA、π0）和四个机器人操作基准（LIBERO）上全面评估了FreezeVLA的效果。

实验结果令人震惊：

平均攻击成功率达到76.2%，远超基线方法

在某些模型和任务组合中，成功率超过95%

攻击表现出良好的跨指令泛化能力

通过详细的消融实验，研究者还揭示了关键因素对攻击效果的影响：

参考指令数量：约10个硬核指令即可达到接近最优的攻击效果扰动大小：在扰动预算达到8/255时，攻击成功率接近饱和优化步数：图像和指令的协同优化对最终效果至关重要

结论

本研究揭示并系统分析了VLA模型中一种新兴漏洞：对抗性扰动可引发持久性瘫痪，导致智能体对用户指令无响应。为探究此威胁，我们提出FreezeVLA攻击框架，该框架将问题转化为极值优化问题，通过结合对抗性文本提示最大化与图像最小化策略，构造出高度可迁移的对抗样本。在三种尖端VLA模型和四个机器人基准测试上的广泛实验表明，FreezeVLA始终优于现有基线，展现出强大的跨提示迁移能力。这些发现凸显了应对行动冻结漏洞的紧迫性，呼吁未来VLA系统构建强健防御机制。