精读笔记
Problem Setting
论文解决的不是传统意义上的 VLA robustness,也不是让机器人“出错”,而是一个更窄但更危险的问题:单个 near-benign prompt 是否能在闭环执行中把最终物理结果重定向到攻击者指定目标。关键矛盾是,文本表面必须仍然像原命令,不能泄漏目标;但控制效果必须像目标命令。
真正困难点在于 closed-loop distribution shift。一个 prompt 在初始图像上产生 target-like action 不够,因为 manipulation 的后续成功取决于抓取、搬运、对齐、释放等一系列状态依赖动作。此前方法卡在 fixed observation 或 per-step action steering:它们证明了 VLA 对语言扰动敏感,但没有证明扰动能稳定地控制 terminal predicate。
Motivation
作者的动机很准确:VLA 中 language instruction 是 persistent conditioning signal,不是静态输入。每次 replanning 都重新把同一个 prompt 与当前 observation 结合,因此 prompt 等价于闭环控制器的一个参数。这个视角下,prompt attack 应该分析 induced trajectory,而不是单次 inference。
已有路线缺的是 on-policy 视角。攻击 prompt 一旦改变早期动作,就会把机器人带到一个和 benign rollout 不同的状态分布;在 benign frames 上优化出来的 adversarial suffix 很可能在真实 rollout 中失效。作者抓住的缺口是:攻击构造必须追踪 candidate prompt 自己制造出的 observation stream。
Core Idea
核心思想是把 trajectory-level redirection 当作 prompt-space imitation learning:目标任务由 direct target prompt 在同一冻结 VLA 上定义,candidate prompt 需要在它自己访问的状态上匹配 target prompt 的动作,同时远离 benign prompt 的动作,并满足 command-preserving 文本约束。
这改变了建模方式:prior 把 prompt perturbation 当作输入级 adversarial example;本文把 prompt 当作闭环策略参数,优化对象从单点输出变成由 prompt 诱导的状态-动作分布。引入的 inductive bias 是“target teacher matching on induced states”:不要求显式规划,也不需要外部 expert,只利用 VLA 已经具备的 target-task controller,把攻击搜索变成寻找语言空间中的错误 grounding basin。
Method
方法的关键机制可以压缩为四步。
第一,定义 command-preserving 约束:小编辑距离、可读、无 target leakage、仍被解释为 benign command。它的作用不是技术装饰,而是把 trivial prompt replacement 排除掉,让 claim 落在 grounding vulnerability 上。
第二,用同一个 frozen VLA 生成 benign teacher 与 target teacher。对同一 observation,分别查询 benign instruction 和 direct target instruction,得到两个 action chunks。这样目标行为不需要人工轨迹,也避免跨模型 action scale 的比较;攻击本质上是在同一策略内部诱导 prompt-conditioned mode switch。
第三,用 target-vs-benign margin score 搜索 prompt。只接近 target teacher 可能导致一般性扰动或不稳定动作;同时比较 benign teacher 可以让搜索更偏向“从原任务分叉到目标任务”,而不是任意破坏。
第四,on-policy aggregation:把 candidate rollout 中访问到的 observations 重新标注 benign / target teacher actions 并加入搜索集。这是方法里最关键的机制,解决的是 fixed-observation scoring 与真实 closed-loop distribution 不一致的问题。没有这一步,搜索仍然停留在静态 adversarial example。
Key Insight / Why It Works
最重要的 insight 是:攻击不需要让模型学会新任务,只要找到一个表面仍像 benign command、但内部 destination representation 被推入 target-like latent region 的文本扰动。VLA 的语言 grounding 不是离散符号解析器,而是连续 / tokenizer-sensitive 表征;小 typo、插入、分词变化可能让“stove”的内部表示偏离 canonical stove,又被视觉上下文和训练分布吸到另一个可行动目标上。
on-policy teacher matching 是核心贡献。它有效不是因为优化目标复杂,而是因为它把搜索分布对齐到了 candidate-induced states。这个思路本质上接近 DAgger / online imitation:早期动作一旦偏离,后续状态变了;必须在这些变后的状态上继续保持 target-like action。论文的 tracking bound 只是形式化这个直觉,真正有用的是它明确说明 fixed dataset action loss 不对应 terminal outcome。
哪些部分可能只是辅助:mutation families、ranking heuristics、prompt minimization、query accounting 大多是 search engineering。它们提高成功率和效率,但不是概念贡献。真正的新增信息是“command-preserving + terminal predicate + on-policy target-teacher matching”这个组合。
能力来源上,我倾向认为这不是 reasoning attack,而是 representation alignment / latent task selection failure。direct target prompt 已经能完成目标任务,攻击只是通过近邻文本扰动错误激活了目标或相近 destination 的控制模式。这里没有证据表明 VLA 形成了显式长期计划;所谓轨迹级控制更像是在每个 replanning state 上反复诱导同一个错误 grounding。
Relation To Prior Work
最接近的是 VLA prompt attacks、LLM adversarial suffix、textual adversarial examples,以及 imitation learning 中的 DAgger。和 Jones et al. 这类工作相比,本质差异不是攻击表面,而是评价对象:prior 证明 prompt 能诱导 low-level action 或 persistence;本文要求 terminal physical redirection,且 prompt 不能显式包含目标或 override。
和传统 NLP adversarial examples 相比,本文把文本扰动放进 embodied feedback loop。文本扰动的影响被 actions 放大,因为 actions 改变后续 observations。这个 closed-loop amplification 是机器人场景区别于静态分类 / 生成任务的核心。
方法上并非全新优化范式:teacher matching、margin ranking、on-policy data aggregation 都是已有思想重组。但实质创新在于把它们用于 prompt search,并把攻击目标从 per-query output 提升到 command-preserving terminal-state redirection。这个问题定义比具体搜索算法更重要。
Dataset / Evaluation
评估覆盖了 LIBERO 多 suite、多类 VLA 架构,并补了 SO100 真机实验,因此能比较有力地支持“不是单一模型 bug”的 claim。尤其跨 action-token、flow/diffusion、continuous chunk、action-as-text 的一致脆弱性,比单模型攻击更有说服力。
但评估也有明显边界。attackable subset 只包含 benign prompt 成功且 direct target prompt 也成功的 pair,因此结果衡量的是“可行目标之间的重定向”,不是任意目标控制。目标选择依赖 scene-valid alternatives 和 oracle / predicate,真实部署中攻击者是否能获得这些信息文中未充分说明。
真机实验有价值,因为证明漏洞能穿过 perception-action-hardware stack;但规模仍是 tabletop manipulation,且攻击在硬件上搜索,不是验证 sim-to-real transfer。它支持 vulnerability exists,不足以说明开放世界部署中的攻击频率或跨环境泛化。
Limitation
最大限制是 threat model 偏强:攻击构造需要 rollout candidate、query frozen policy、用 target prompt 查询 teacher。对于完全锁定的部署,这可能高估攻击能力;对于开放 API 或可仿真环境,则相当现实。
第二,攻击依赖 target task 本身可由 VLA 完成。它不是生成新技能,而是重定向到模型已有能力区域。核心能力可能主要来自训练数据覆盖和 prompt-conditioned skill reuse,而不是搜索算法创造了新控制能力。
第三,command-preserving 的定义有制度性脆弱点。Preserve / Leak 依赖词表、规则、spell correction、LLM judge 和 canonical command set。不同 annotator 或部署规范可能改变哪些 prompt 被认为 admissible。论文试图严格化这个约束,但语义保持本身不是完全客观的。
第四,scalability 上限不清。长时程多阶段任务中,target teacher 本身可能在 off-distribution candidate states 上不稳定,on-policy aggregation 的 query cost 也会快速上升。当前方法更像 test-time search,而不是一次性可泛化攻击模型。
第五,防御结论“command-level normalization is required”方向正确,但也把问题转移到 interface design:有限 canonical command 会牺牲 open-vocabulary VLA 的核心卖点。如何在开放语言可用性和安全 canonicalization 之间取平衡,文中没有解决。
Takeaway
- 1. VLA 安全不能只看单步 action robustness;prompt 是闭环控制参数,安全对象应是 induced trajectory 和 terminal predicate。
- 2. 很多 VLA 的语言 grounding 仍像连续表征匹配,而不是可靠符号解析;小文本扰动足以改变 destination latent representation,并通过闭环执行放大成物理结果变化。
- 3. 对 embodied prompt attack,on-policy evaluation / aggregation 是必要思想。
- 固定 observation 上的 adversarial score 很可能高估或误估真实攻击能力。
一句话总结
这篇论文把 VLA prompt attack 从单步输出操纵推进到闭环终态重定向,核心贡献不是某个搜索技巧,而是把语言扰动建模为 on-policy 控制参数并揭示了 command-preserving grounding failure。
