本次提出的BadVLA（Backdoor Attack on Vision-Language-Action Models）框架，首创性地揭示了 VLA 模型在端到端感知–决策一体化架构下的后门攻击威胁，通过目标解耦优化（Objective-Decoupled Optimization）实现了隐蔽且稳定的策略劫持，为后续具身智能体与机器人系统的安全防护设计提供了关键警示与重要研究方向。

导读

随着 Vision-Language-Action（VLA）模型在自动驾驶、家庭机器人、工业操作等领域的迅速发展，具身智能正加速进入现实应用。

然而，VLA 模型以端到端的结构同时处理视觉、语言与动作信号，这种高度耦合的架构在提升智能性的同时，也引入了前所未有的安全风险。尤其在“Training-as-a-Service（TaaS）”训练范式下，模型训练过程被外包至第三方平台，极易成为隐蔽后门攻击的温床。面对这一空白，研究团队提出了首个针对 VLA 模型的系统性后门攻击框架——BadVLA。

BadVLA 基于一种创新性的“目标解耦优化（Objective-Decoupled Optimization）”策略，通过两阶段训练过程实现隐蔽的后门植入。

第一阶段在感知模块中引入触发器并构建潜在特征分离，使模型在视觉空间中形成“隐性开关”；第二阶段冻结感知模块，仅在干净数据上微调策略头，从而在保持正常任务性能的同时实现可控偏移。

实验表明，BadVLA 在 OpenVLA、SpatialVLA 等主流具身模型上达到了接近 100% 的攻击成功率（ASR），且在强压缩、加噪声、再微调等条件下依然稳定有效，揭示了当前 VLA 模型在鲁棒性防御层面的严重缺陷。

BadVLA 的提出不仅首次揭开了具身智能系统中“隐形后门”的安全风险，也为未来的安全可控机器人与多模态智能体设计提出了紧迫的研究议题。该研究强调，在构建具备自主感知与决策能力的 AI 系统时，必须同步发展针对多模态与跨时序交互的防御机制。BadVLA 的发现将推动学界重新审视“信任与安全”的边界，为构建可信任、可验证、可防御的下一代具身智能奠定关键基础。

【论文题目】BadVLA: Towards Backdoor Attacks on Vision-Language-Action Models via Objective-Decoupled Optimization

【论文链接】https://arxiv.org/abs/2505.16640

【代码链接】https://github.com/Zxy-MLlab/BadVLA

研究背景

随着多模态与具身智能技术的快速发展，Vision-Language-Action（VLA）模型已成为智能机器人决策的核心框架。此类模型通过融合视觉感知、语言理解与动作控制，实现从“图像–指令–行为”的端到端推理，在家庭助理、仓储操作及自动驾驶等场景展现出卓越性能。

然而，这种紧耦合架构在消除传统模块化边界的同时，也带来了新的安全风险：一旦训练阶段被恶意篡改，模型可能在特定触发条件下执行异常动作，造成物理层面的安全隐患。

与传统视觉或语言模型不同，VLA 模型直接驱动物理行为，其安全问题更具现实危害性。尤其在Training-as-a-Service（TaaS）范式下，模型训练被外包给第三方平台，攻击者可在训练过程中注入隐蔽后门，使模型在干净输入下正常工作，而在遇到特定视觉触发时出现不可控偏差。现有针对单模态任务的防御机制在多模态交互场景中往往失效，暴露出明显的安全空白。

针对这一问题，本文提出BadVLA框架，首次系统性揭示了 VLA 模型的后门脆弱性。该方法基于目标解耦优化（Objective-Decoupled Optimization），在保持正常任务性能的前提下，实现潜在行为的隐蔽操控。

研究结果显示，BadVLA 在多种 VLA 架构上均可实现近 100% 的攻击成功率，并在压缩、加噪与再训练条件下保持稳定，为未来安全可信的具身智能系统设计提供了重要启示。

动机

随着多模态大模型（Multimodal Large Models, MLLMs）逐渐从感知理解走向具身智能（Embodied Intelligence），AI 系统正从“信息处理模型”演化为能够感知—理解—行动的自主决策体。尤其是VLA 模型的兴起，使机器人能够在自然语言指令的引导下完成复杂的物理交互与任务规划。

这一转变标志着人工智能正在从“认知理解”迈向“行为智能”，大幅提升了系统的适应性与泛化能力。然而，这种端到端的多模态融合机制，也引入了前所未有的安全与可信性挑战。

在真实应用中，VLA 模型需要同时处理视觉场景、语言指令与动作决策，并通过统一的表示空间实现跨模态对齐与动作生成。该机制虽然显著提升了控制效率，但也意味着模型内部的视觉与语义特征深度耦合，一旦训练阶段被恶意干预，攻击者即可在模型中植入隐蔽的后门触发器（Trigger）。

此类触发器可在特定视觉符号或场景出现时激活，使机器人产生错误或危险的物理行为。例如，在自动驾驶或仓储操作中，一个微小的颜色标志或物体形状即可诱导系统执行错误决策，造成真实的安全风险。

尽管已有研究关注多模态模型的对抗鲁棒性与指令注入攻击，但这些工作多集中于输入扰动层面，尚未触及训练阶段潜藏的后门风险。

在TaaS 范式下，模型训练过程往往外包给第三方平台，使攻击者具备在优化目标或训练数据中隐蔽注入恶意触发的能力。而传统针对单模态网络的防御手段（如梯度审查、异常检测、噪声防御）在高维跨模态特征空间中均失效，导致后门攻击的可检测性与可防御性急剧下降。

因此，本文的研究动机在于：

▪️系统性揭示 VLA 模型的后门脆弱性——探究端到端具身智能系统在训练阶段是否易被植入隐蔽触发机制；

▪️解析影响后门稳定性的关键因素——包括跨模态特征耦合方式、感知模块鲁棒性、任务优化策略与再训练迁移性；

▪️推动安全具身智能体系的构建——为未来设计具备鲁棒感知、可信决策与可验证安全性的多模态机器人提供理论基础与防御启示。

简言之，本文的核心动机在于：当智能体“能够行动”时，它的安全边界已从数字空间延伸到物理世界。如何让模型既能理解人类意图、执行复杂任务，又能在任何触发下保持安全与可控，成为具身智能安全研究的关键命题。

方法

本文提出了一种面向VLA模型的双阶段目标解耦后门注入框架（Objective-Decoupled Optimization Framework），旨在在保持模型正常任务性能的前提下，实现隐蔽而稳定的后门植入。整个方法遵循“分离触发学习与任务优化”的核心思想，通过结构化训练过程实现潜在策略劫持的可控注入。

具体如图1所示。本文将VLA模型分解为三部分：感知模块，骨干模块以及动作模块，可参数分别为。本文分为两阶段训练后门：第一阶段：通过参考对齐优化向感知模块中注入隐蔽且高效的触发器；第二阶段：在冻结感知模块的同时，利用干净数据训练骨干与策略模块，以提升模型在正常任务上的性能。

图1：本文提出的目标解耦（Objective-Decoupled）训练框架在 VLA 模型中的后门注入概览。阶段 I 通过参考对齐优化（reference-aligned optimization）执行定向触发器注入；阶段 II 使用仅包含干净数据的训练，对其余模块进行微调，以确保模型在正常任务上的性能。

1. 准备工作

① VLA模型

VLA模型是一种专为机器人领域设计的多模态基础模型，旨在通过整合视觉输入、语言指令和动作输出，实现机器人任务的端到端控制。

该模型可形式化为函数

，其中视觉空间

表示图像输入，语言空间表示任务指令，动作空间

对应器人在多维空间中的动作序列，通常采用7个自由度：

其中

表示平移位移，

表示旋转角度，表示夹爪控制信号。

② 威胁模型

攻击者目标：攻击者旨在向 VLA 模型中植入一个隐蔽的后门，使模型在未触发时保持高任务性能，而一旦触发器出现，则被诱导执行错误或危险的动作，从而实现高攻击成功率（ASR）。

攻击者知识：假设攻击者为白盒攻击者，拥有对模型架构与预训练参数的完全访问权限。这一设定符合当前开源生态中大型 VLA 模型（如 OpenVLA、SpatialVLA）公开发布并常被下游开发者微调的现实情况。

攻击者能力：攻击者仅能在模型训练阶段介入，可通过注入带触发器的样本、修改损失函数或操控优化策略来嵌入恶意行为，但无法更改模型架构或部署过程。这与TaaS场景下的现实威胁高度一致.

③后门形式化

该方法旨在通过最小化且有效的触发器

在 VLA 模型中植入后门，使模型在无触发器时保持正常性能，而在触发条件下输出恶意动作。

为此，作者设计了一个双层优化目标（bi-level objective）：在最大化干净任务性能的同时，最小化触发输入下正确动作的概率，从而平衡模型精度与攻击效果。形式化为：

其中

控制任务保持性与攻击有效性之间的平衡。

2. 阶段 I：基于参考对齐优化的触发器注入

在第一阶段，BadVLA 的目标是在保持模型干净任务性能的前提下，向感知模块中注入一个隐蔽且稳定的后门触发器。

为实现这一目标，作者提出了参考对齐优化（Reference-Aligned Optimization）策略，用于在触发样本与干净样本之间建立受控的特征偏移关系。其核心思想是：

▪️保证触发样本与干净样本在语义空间中保持一致，从而不破坏模型的原始判别能力。

▪️ 同时引导带触发器的样本在潜在特征空间中与参考模型输出形成轻微偏移，从而在特定条件下激活后门行为。

具体而言，

设为目标VLM模型，

是预训练的参考模型，则训练目标为：

其中

表示触发器与图像的结合。第一项确保干净样本的特征与参考模型保持一致，以维持原任务精度，第二项通过加权系数引导触发样本在保持语义相似的前提下偏离参考分布，从而注入可激活的后门信号。

这种设计实现了后门嵌入的隐蔽性、特征分离性与任务保持性三者平衡，为第二阶段的清洁任务增强（Stage II）奠定了稳定基础。

3. Stage II：冻结感知模块的清洁任务增强

在完成第一阶段的触发器注入后，第二阶段的目标是在保持特征空间分离性的前提下，进一步提升模型在干净数据上的任务性能。

为此，BadVLA 采用模块冻结策略：固定已含后门的感知模块参数

，仅对骨干模块与动作策略模块

进行微调，从而在不破坏潜在触发机制的情况下，恢复并强化模型的正常行为表现。

每个训练样本是三元组

，模型执行自回归动作解码过程：

其中d表示机械臂的自由度，通常为7。训练目标是最小化干净数据分布

下的的负对数似然损失，以保持模型在正常输入下的任务精度：

由于感知模块在该阶段被冻结，模型的骨干与策略部分仅暴露于干净特征空间的输入分布。

因此，学习到的策略在特征空间中与正常样本区域紧密耦合，从而强化模型在干净任务下的稳定性与表现。

然而，当在推理阶段遇到触发输入时，感知模块会将视觉特征映射至一个与训练分布不同的潜在区域，导致策略模块生成语义失衡、随机或行为异常的动作输出。这种机制使模型在保持干净数据性能的同时，潜伏地具备被触发后执行恶意策略的能力，从而完成后门攻击的最终植入与激活。

实验

实验设置

模型：实验选用了 OpenVLA与 SpatialVLA的四个变体作为主要研究对象，这两种模型是当前最具影响力的开源 VLA 系统。

评价指标：ASR，用于衡量后门有效性，定义为：

其中

分别表示目标模型在有触发器与无触发器下的任务成功率；

表示基线模型的对应指标。

该指标兼顾了两方面目标：

1. 模型在无触发时保持正常性能；

2. 在触发下表现出显著性能退化。从而综合反映攻击的隐蔽性与有效性。

对比方法：考虑了两种对比方法：

■ Data-Poisoned 攻击（基于 BadNet）：向视觉输入中加入固定触发器，并随机分配 7D 动作标签。然后与干净数据混合进行标准监督训练，模拟传统的样本级中毒攻击。

■ Model-Poisoned 攻击：基于 UADA （针对VLA的对抗攻击方法）的思想，通过最大化触发条件下动作分布的偏差实现攻击。训练损失为：

主要实验结果

表1：BadVLA在OpenVLA平台上的不同触发器类型（Block、Mug、Stick）性能表现，基于 LIBERO 基准测试。

实验结果表明，BadVLA 在多种任务与触发场景下均表现出极高的攻击有效性与稳定性。

在表 1 所示的四个 OpenVLA–LIBERO 基准任务（Spatial、Object、Goal、Long）中，模型在三类视觉触发器（合成像素块、红色杯子、红色木棒）下均能在无触发时保持 95% 以上的干净任务成功率（SR），而在触发后实现 95%–100% 的攻击成功率（ASR）。

例如，在 Libero_10 上 BadVLA 达到 98.2% 的 ASR，同时不损害正常性能。相比之下，传统中毒攻击（如 Data-Poisoned、Model-Poisoned）要么显著降低模型整体性能（SR≈0.0），要么对触发器反应迟钝，难以实现稳定的后门激活。

同时，在更具现实语义的触发器场景（如红色马克杯或木棒）中，BadVLA 依旧保持出色的隐蔽性与鲁棒性——在 mug 任务中 ASR 达到 100.0%，其他任务中仍超过 93%；即便在干扰性更强的 stick 触发下，模型也能维持 98.3% 的 ASR 与 93.3% 的 SR。

此外，在表 2 所示的简化环境 SpatialVLA–SimplerEnv 中，BadVLA 在多个机器人控制任务（如 pick_coke_can、pick_object、move_near）中依旧取得 87.5%–100.0% 的 ASR，验证了其在复杂与简化具身智能环境中的跨任务迁移性与稳健隐蔽性。

内存模块配置的影响

表2：spatialVLA在简单环境中的性能比较

图2：触发器尺寸与空间位置对ASR和SR（无）的影响。较小的触发器会轻微降低ASR，但所有配置均保持有效，表明其具有空间不变性和鲁棒性。

图3：跨模态触发评估

触发器分析

图4: 清洁状态与触发状态下终末效应器轨迹的比较。触发轨迹逐渐发散，最终导致失效。

触发器的大小和位置：如图2所示，实验结果进一步揭示了 BadVLA 在触发器大小与位置变化下的空间鲁棒性与视觉隐蔽性。研究团队系统地改变了触发器面积（1%、5%、10% 图像区域）及其位置（中心、左上、右下等），以评估模型是否依赖于显著或固定位置的触发信号。

结果表明，即使仅使用覆盖 1% 图像区域的极小触发补丁，模型依然能实现较高的攻击成功率，仅相较于较大触发器有轻微下降；随着触发面积增加，ASR 稳步提升，但也增加了视觉可检测性，体现了攻击强度与隐蔽性之间的现实权衡。

此外，触发器的位置几乎不会影响攻击效果——无论放置于图像中央或边缘，ASR 均保持稳定，这说明 BadVLA 不依赖空间局部特征，而是在特征表示层捕获触发语义，从而在多种位置与尺度下实现稳定激活。该特性使 BadVLA 能在真实世界的动态场景中（如移动摄像头或机器人环境）保持高鲁棒性与灵活部署能力，表明其在物理与具身任务中具备更强的潜在威胁性。

跨模态触发器：实验进一步验证了 BadVLA 在跨模态触发场景下的有效性。如图3所示，结果表明，即便不使用人工合成的像素触发器，仅通过现实中具有语义意义的物体（如红色杯子或视觉标记），模型仍能在真实部署条件下被成功激活，表现出高攻击成功率（ASR）且几乎不影响正常任务性能。

这说明 BadVLA 并非依赖固定像素或图案记忆，而是学习到了潜在的“语义触发概念”，可通过自然的多模态通道（视觉–语言–动作）激发后门行为。该特性揭示了更严重的安全隐患：在现实环境中，普通物体一旦与模型已学习的特征路径对齐，即可能在无显式篡改的情况下触发潜在的对抗控制，使具身智能系统暴露于隐蔽且高危的安全威胁中。

图5: 阶段I前后清洁特征与触发特征之间的余弦相似度。本文的方法在触发激活时诱导出显著的表征偏移。

系统分析

轨迹分析：为揭示 BadVLA 如何在时间维度上破坏控制行为，研究者对比分析了模型在干净与触发条件下的轨迹表现（如图 4 所示）。

结果显示，在无触发时，模型能生成平滑且与任务目标一致的运动轨迹，稳定完成物体操作；而在触发激活后，轨迹初期仍表现正常，但随后逐渐偏离预期路径，误差在多步执行中不断累积，最终导致空间位姿混乱与抓取失败。

这一现象表明，BadVLA 并非简单注入固定的对抗动作，而是引入一种潜在的时序不稳定性，使性能在长期执行中逐步退化，而非立即崩溃。这种“渐进式扰动”策略显著增强了攻击的隐蔽性与持续性，揭示了多步具身任务中潜伏后门的高危特征。

表3：OpenVLA变体下带触发器与不带触发器的 LIBERO 性能

表4：不同压缩比下跨数据集与触发条件的评估

表5：跨数据集与触发条件下的不同噪声水平评估

触发扰动特征空间分析：研究者进一步通过计算干净输入与触发输入的特征嵌入余弦相似度，分析了 BadVLA 在触发扰动下的潜在表征变化（如图 5 所示）。

结果显示，在后门注入前，二者的特征表示几乎完全对齐（相似度约为 0.98），说明模型的感知模块最初对触发信号不敏感；但在经过阶段 I 训练后，相似度急剧下降至 0.21，表明模型在潜空间中形成了明显分离的触发特征。

这种特征偏移揭示出触发器在模型内部诱导出一种新的表征模式，使下游模块在感知层面被误导，从而引发策略偏移与行为异常。

该结果验证了 BadVLA 的核心设计思想：它并非直接篡改输出行为，而是通过操控感知特征，使模型在潜在动态中逐步偏离稳定轨迹，实现隐蔽且持久的控制干扰。

模块的重要性分析：为验证 BadVLA 各组成模块的重要性，作者进行了消融实验（见表 3）。

结果显示，当移除触发分离损失项（L2）时，攻击成功率（ASR）几乎降为 0，说明该项对有效后门编码至关重要；而去除参考对齐损失（L1）虽能保持较高的 ASR（如在 Libero_object 上达 94.9%），但会显著损害模型在干净任务下的性能（SR 降至 38.3），表明模型过度拟合于触发特征。

此外，若省略第二阶段的清洁任务训练（Sec），模型则完全失效，SR 与 ASR 均接近 0。仅当所有组件共同作用时，模型才能在保持 >95% 的干净准确率（SR）的同时，实现 >98% 的攻击成功率（ASR）。

这充分说明了 BadVLA 的分阶段解耦设计（staged decoupling）对于在隐蔽性与攻击性之间取得平衡至关重要。

防御实验

对输入扰动的鲁棒性：实验结果（见表 4 和表 5）表明，BadVLA 对常见输入扰动（如 JPEG 压缩与高斯噪声）具有显著鲁棒性。

即使在强压缩（q=20%）或高噪声水平（ε=0.08）下，模型的干净任务成功率（SR w/o）仍保持在 90% 以上，任务性能基本未受影响；同时，攻击成功率（ASR）依旧维持在 94%–97%，例如在 Libero_10 上于 q=20% 时仍达 97.4%。

这表明 BadVLA 的后门触发机制并不依赖低层次视觉细节，而是基于更高层的语义表征偏移，因此传统的图像预处理防御（如去噪、压缩）难以有效抑制该攻击。

表6：有无再训练是触发器注入的跨任务评估

对再训练的鲁棒性：实验结果（见表 6）显示，BadVLA 的后门在下游微调（fine-tuning）后仍具有高度持久性。虽然微调显著恢复了模型的干净任务性能（SR w/o 超过 90%），但攻击成功率（ASR）在新任务中依旧保持极高水平，例如在 Libero_object 上仍达 98.2%。

这表明后门并非仅存在于可被新训练覆盖的浅层参数中，而是深度嵌入于特征表示空间中。该结果揭示了一个严重的安全风险：预训练模型中的后门可在适配与再部署后仍然存活并持续生效，对下游具身智能系统构成长期威胁。

总结

BadVLA 是首个专为视觉–语言–动作（VLA）模型设计的非定向后门攻击框架，揭示了这类具身智能系统在安全性上的关键盲区。

研究表明，由于 VLA 模型的端到端结构缺乏可解释性，传统防御方法难以检测或消除隐蔽的触发信号。BadVLA 通过一种分阶段训练策略将触发识别与任务目标解耦，实现了在不损害正常任务性能的情况下成功植入后门。

实验结果显示，即使仅依赖单一视觉触发，模型在多个任务、机器人平台与环境中都能表现出一致的行为偏移，而在干净输入下仍维持高性能。

作者进一步强调，这项工作揭示了当前 VLA 系统在鲁棒性与可信性方面的严重安全隐患。BadVLA 的攻击并非依赖浅层参数或特定数据，而是深度嵌入模型的特征表示空间，使得后门能在迁移学习或下游微调后依旧存活并生效。该研究呼吁学术界与工业界重视多模态具身智能体的安全训练、验证与防御机制，以防止未来基于大模型的机器人系统在现实部署中遭受潜在的隐蔽操控。

关于 BraneMatrix（布兰矩阵）

我们是一家由顶级安全专家、全球知名算法科学家、专家资深红队研究员和全栈创造力出类拔萃开发者共同创立的新型安全公司，致力于打造全球领先的大模型算法安全检测平台与防御系统。

我们的使命是：