1. Introduction

本文围绕大语言模型（Large Language Models, LLMs）与物联网（Internet of Things, IoT）融合所形成的“认知层”展开，指出截至2023年全球联网IoT设备已超过160亿，并预计到2030年达到300亿。与此同时，基于Transformer架构的大语言模型在自然语言理解、推理、代码生成及多模态处理方面表现出显著能力，因此成为处理IoT连续异构数据流的天然候选技术。文章指出，LLM能够将原始传感数据转化为可执行洞见，支持设备管理的对话式接口，并自动完成原本依赖人工的复杂决策过程。文中以智能家居代理、工业IoT过程优化、多传感器条件语言生成以及零样本人类活动识别等工作为例，说明LLM正在赋予传感网络以类人的认知灵活性。

在此基础上，文章强调LLM-IoT融合带来了双向叠加且相互耦合的安全风险。一方面，系统继承了IoT传统脆弱性，如设备资源受限、协议异构以及海量终端导致的巨大攻击面；另一方面，LLM又引入提示注入、模型提取、后门攻击与训练数据记忆等人工智能特有风险。当两类威胁交汇时，会产生新的复合型风险，例如受损传感器可向基于LLM的工业控制器注入操纵数据并诱发级联故障，医疗IoT助手若遭提示注入则可能泄露患者隐私或生成有害诊疗建议。文章进一步提出“准确性—效率—隐私三难困境”，认为这是边缘LLM-IoT部署中的核心矛盾：量化、剪枝等压缩方法虽是资源受限设备部署所必需，却可能降低安全性能，甚至使原本良性的模型在量化后表现出恶意行为；而差分隐私（DP）与联邦学习（FL）等隐私保护方法又会增加额外计算负担。作者据此说明本文相对于既有综述的定位，即以安全为中心组织分析，而非仅将安全作为众多主题之一。

2. Survey Methodology

本节说明综述的系统化文献检索、筛选与分析框架。研究人员在IEEE Xplore、ACM Digital Library、Google Scholar、arXiv、MDPI与Elsevier ScienceDirect六个数据库中检索2020年1月至2025年2月的相关研究，以覆盖后2022时代LLM快速发展期以及前期IoT安全基础工作。检索式围绕“LLM”“IoT”“security”“intrusion detection”“prompt injection”“federated learning”“differential privacy”“model extraction”等组合关键词构建，并辅以逆向、前向引文追踪以及顶级会议论文人工筛查。

筛选标准方面，纳入文献包括直接讨论LLM-IoT安全、隐私或攻防机制的同行评议论文，以及具有明确影响力的高质量arXiv预印本；同时也纳入虽分别聚焦LLM安全或IoT安全、但其结论可直接迁移至LLM-IoT集成场景的研究。排除项则包括不含LLM或Transformer组件的一般IoT机器学习论文、2020年以前的非奠基性研究、非英文文献，以及方法细节不足或结果无法验证的文章。最终，研究人员从约450篇候选文献中，经题名与摘要筛选、全文审查后，确定88篇文献作为核心分析基础。

文献分析采用四维框架：其一，针对LLM-IoT系统的威胁；其二，LLM赋能IoT安全的方式；其三，隐私保护技术路径；其四，特定应用领域中的LLM-IoT安全问题。对于跨类别论文，依据其主要贡献进行主分类，同时在相关章节交叉引用。若文献报告了准确率、F1-score、时延与吞吐量等量化指标，则将其提取用于后文比较分析。该方法论确保了综述的系统性、可复核性与跨维度对比能力。

3. Background

在背景部分，文章首先概述LLM基本原理。LLM通常建立在Transformer之上，依托自注意力机制（self-attention）建模长距离依赖关系，并通过大规模语料无监督预训练、监督微调及基于人类反馈的强化学习（reinforcement learning from human feedback, RLHF）进行对齐。与IoT集成密切相关的能力包括自然语言理解、上下文学习、预训练获得的广泛世界知识，以及处理传感时间序列、图像和结构化数据的多模态扩展能力。同时，文中指出全尺寸LLM往往依赖云端推理，而参数规模较小的小语言模型（Small Language Models, SLMs）可借助量化、剪枝和知识蒸馏部署于边缘设备，但这会带来不同层级的安全权衡。

随后文章回顾IoT安全图景，指出IoT生态由传感器、执行器、网关和边缘服务器构成，具有部署规模庞大、协议与环境高度异构的特点。传统IoT安全问题包括设备层面的弱认证、未加密固件和更新机制不足，网络层面的中间人攻击、拒绝服务与协议漏洞，以及数据层面的未授权访问和行为推断隐私侵犯。由于许多IoT设备受限于算力、存储和能耗，难以承载重量级安全机制，因此整体呈现出端点众多、保护薄弱、攻击面广的态势。文章指出，机器学习已被广泛用于IoT入侵检测与异常检测，但传统方法依赖标注数据、难以应对新型攻击且可解释性有限，从而推动了对LLM方案的探索。

最后，文章重点分析LLM-IoT的扩展攻击面。该集成并非简单叠加IoT和LLM各自漏洞，而是在数据摄取层、模型层、通信层与输出层形成新的交互式风险。数据摄取层面，传感器持续向LLM输入数据，因此攻击者既可在训练阶段投毒，也可在推理阶段通过操纵传感输入或上下文窗口实施污染。模型层面，部署在边缘设备上的LLM可能遭受侧信道分析（side-channel analysis），攻击者可通过监测功耗或电磁泄漏推断模型架构与参数；而量化、剪枝等压缩手段本身也可能成为引入脆弱性的入口。通信层面，IoT设备与本地或云端LLM推理端点之间的数据交换面临窃听、篡改及加密流量分析风险。输出层面，LLM响应可能泄露从IoT数据中学习到的敏感信息，或者在对抗性提示下生成危险控制指令。文章据此为后续威胁分类与防御讨论建立了分层化分析基础。

4. Related Surveys and Our Positioning

本文将现有相关综述划分为几类并明确自身定位。关于LLM与IoT总体融合的研究，已有工作从感知层、网络层、处理层和应用层广泛梳理了应用架构与挑战，但安全只是其中一个子主题。关于IoT安全的传统综述，则主要覆盖机器学习与深度学习方法在身份认证、访问控制、恶意软件检测和入侵检测中的应用，发布时间多早于LLM兴起，因此无法触及LLM带来的新型风险与新机遇。关于LLM安全的综述，虽然对越狱（jailbreaking）、提示注入、后门攻击、隐私风险和自主代理安全等问题进行了深入分析，但大多没有嵌入IoT场景中的资源约束、异构设备群体以及物理世界后果等具体约束条件。

基于上述差异，本文将自身界定为“安全优先”的纵向深描型综述，其核心贡献不在于最大化覆盖应用广度，而在于围绕威胁机制、隐私保护架构、领域特定风险与性能比较形成结构化、可操作的安全认知框架。作者指出，这种组织方式使其能够识别出诸如“准确性—效率—隐私三难困境”这样的跨领域共性问题，而这类问题在以应用为主线的泛化综述中往往难以显现。

5. Taxonomy of LLM-IoT Security

文章提出一个双分支分类体系，将LLM-IoT安全图景划分为“针对LLM-IoT系统的威胁”和“LLM用于IoT安全”两大主轴。与传统IoT安全常依赖机密性、完整性、可用性（CIA）三元组的框架不同，该体系显式纳入了提示注入、越狱、幻觉利用等LLM特有攻击向量，并承认LLM既是攻击目标也是防御工具的双重属性。

在威胁分支中，作者按架构层次组织风险：数据与输入攻击主要针对传感器与LLM接口，包括传感驱动的提示注入、IoT流数据投毒和对抗样本；模型层攻击涵盖模型提取、后门攻击和成员推断（membership inference）；通信与基础设施攻击则涉及中间人攻击、加密流量分析和API接口滥用；隐私泄露则指LLM通过训练数据、上下文窗口或推理能力无意暴露敏感信息的情形。在防御应用分支中，文章将LLM在IoT安全中的作用归纳为入侵检测、威胁情报、漏洞评估和认证与指纹识别四类功能。与此同时，联邦学习、差分隐私、同态加密、安全多方计算（secure multi-party computation, MPC）和可信执行环境（TEEs）等隐私保护架构被视作贯穿两大主轴的横向机制。

6. Security Threats to LLM-IoT Systems

在威胁分析部分，文章系统讨论了数据与输入攻击、模型层攻击、通信与基础设施攻击以及隐私泄露四个维度。对于提示注入，作者强调其在IoT环境中的特殊性：攻击者不一定需要直接接触文本接口，而可以通过被攻陷设备的状态报告、传感器读数或自动化消息间接嵌入恶意提示。由于IoT系统往往会将LLM输出转化为现实世界中的控制行为，因而错误输出可能带来物理伤害。对于数据投毒，文中区分了训练阶段投毒与推理阶段投毒两类路径，并指出分布式IoT数据采集过程为恶意文档、扰动知识库和污染传感流提供了多个入口。对抗样本与越狱攻击方面，文章引述相关研究说明现有防御通常缺乏跨攻击泛化能力，且越狱在统计意义上可能不可完全避免，这对安全关键型IoT部署构成长期挑战。

在模型层面，作者讨论了模型提取、后门攻击与成员推断。模型提取不仅包括功能复现，还包括训练数据提取和系统提示窃取；对于边缘部署LLM，侧信道指纹识别可进一步揭示架构细节。后门攻击则可能通过训练或微调阶段植入隐蔽触发器，使模型在日常输入上表现正常，但在触发条件满足时执行攻击者设定行为。成员推断和训练数据逐字提取则直接威胁以个人设备数据、家庭活动模式或医疗监测信息为基础进行微调的LLM-IoT系统的隐私安全。

通信与基础设施层面，文章指出即便LLM推理流量经过加密，攻击者仍可依据分组大小、时间模式等网络侧信道特征推断查询类型；而依赖云端API的LLM-IoT平台还面临认证、速率限制与输入校验不足所带来的工具操纵风险。关于隐私泄露，作者认为其并不局限于“模型直接背诵敏感数据”，更体现在LLM基于原始IoT数据进行高阶推断的能力本身。例如，模型可从智能家居传感流中重建住户作息、占用模式与生活习惯，从而形成细粒度行为画像。因此，LLM-IoT系统的隐私风险具有“显式泄露”与“推断泄露”双重特征。

7. LLMs for IoT Security

与威胁部分相对应，本文也系统总结了LLM作为IoT安全赋能器的研究进展。文章指出，在标准数据集上，基于LLM的IoT入侵检测系统通常可达到95–99%的检测准确率，并在多数配置中相较传统机器学习提高5–15个百分点，但代价往往是10–100倍的计算开销。在入侵检测方面，相关工作展示了轻量化BERT类模型、具备记忆检索能力的智能代理、结合去噪卷积自编码器与检索增强生成（Retrieval-Augmented Generation, RAG）的混合系统，以及用于主动威胁预测的序列建模方案。作者特别指出，并非所有场景下LLM都绝对优于传统方法，XGBoost、随机森林等经典方法在某些配置中仍保有竞争优势，因此方法选型必须结合资源约束、实时性要求与解释需求进行权衡。

在威胁情报与日志分析方面，LLM凭借对半结构化文本的语义理解能力，在网络安全日志分类、漏洞数据库查询与威胁狩猎中展现出明显优势。通过领域特定提示工程和RAG增强，模型可在日志分类与IoT漏洞分析任务中显著优于传统梯度提升类方法。漏洞评估方面，LLM被用于智能模糊测试（fuzzing）与安全咨询任务标准化评测，提升了测试输入的语义有效性。设备认证与指纹识别方面，LLM能够基于HTTP横幅、网络行为或语义嵌入识别新型IoT设备，并在大规模厂商分类任务中取得较高准确率，同时具备一定的对抗规避鲁棒性。这些结果表明，LLM在IoT安全中的价值不仅体现在检测性能，还体现在可解释性、泛化性与对未知设备、未知攻击的适应能力上。

8. Privacy-Preserving LLM-IoT Architectures 与 9. Domain-Specific Security Analysis

在隐私保护架构部分，文章依次评估联邦学习（FL）、差分隐私（DP）、同态加密（HE）、可信执行环境（TEEs）与安全多方计算（MPC）的适用性。作者认为，FL因无需集中原始数据而与IoT分布式数据生成模式天然契合，同时可通过梯度感知聚合、分层拆分学习以及LoRA微调等策略缓解训练开销，并被用于异常检测与医疗物联网入侵检测。DP则提供形式化隐私保证，可应用于训练、微调和推理阶段，但噪声注入会影响模型效用，因此出现了针对敏感token选择性保护的方案。HE允许在密文上执行推理，但计算代价仍然较高；虽然已有针对Transformer友好的架构改造与GPU加速实现，但距离大规模、低时延IoT场景的全面实用仍有差距。TEEs通过硬件隔离为云端推理和部分边缘计算提供近低开销保护，而MPC则在双方或多方隐私推理中取得了协议层面的效率进展。总体上，本文认为没有任何单一技术能够同时在隐私强度、计算开销和IoT兼容性上达到最优，这进一步印证了三难困境的普遍性。

在领域特定安全分析中，作者分别讨论医疗IoT、智能家居、工业IoT、智能电网与交通系统，以及可穿戴与个人设备。医疗场景对隐私与安全要求最高，错误决策可能直接危及患者安全，因此多智能体串谋、合规性约束与多层隐私保护尤为关键。智能家居场景则突出行为隐私暴露和社会工程操纵风险，LLM能够从传感数据中推断住户生活细节，因而数据最小化与授权控制至关重要。工业IoT与关键基础设施场景强调物理后果与确定性行为要求，坏数据注入、领域知识提取和控制链路错误输出可能造成设备损坏或安全事故。智能电网和车联网面临大规模基础设施级联风险，需要兼顾协议安全、异常检测与低时延通信防护。可穿戴设备由于采集生物特征、位置与活动模式等高度敏感数据，同时受制于严苛算力约束，因此本地化轻量模型、伪装查询与高压缩安全部署成为重要方向。文章通过跨领域比较表明，不同IoT垂直场景在威胁暴露、隐私敏感度、实时性、监管负担、资源约束及LLM安全采用成熟度方面差异明显，因此安全方案必须遵循领域适配而非一体化通用设计原则。

10. Challenges and Open Problems、11. Future Research Directions 与 12. Conclusions

在挑战与开放问题部分，文章再次聚焦“准确性—效率—隐私三难困境”，并将其与量化投毒、边缘时延、模型幻觉、系统异构性、可扩展性、真实世界验证不足以及监管与伦理压力联系起来。作者指出，压缩方法可能削弱安全甚至激活恶意行为，隐私保护与加密推理会增加延迟，LLM幻觉在IoT中可能被放大为物理伤害，而大多数研究仍停留在受控数据集与实验室环境中，尚未充分覆盖设备更替、概念漂移与攻击演化等现实因素。此外，GDPR、HIPAA、EU AI Act等法规对可解释性、问责性与数据处理流程提出要求，与LLM的“黑箱性”形成张力。

基于上述分析，文章提出若干未来研究方向，包括安全感知模型压缩、面向真实IoT条件的标准化LLM-IoT安全基准、可解释安全决策、面向LLM-IoT的零信任（zero-trust）架构、轻量化隐私保护推理、从“绝对防越狱”转向“对抗成功后的韧性设计”，以及可跨医疗、工业、家庭等领域迁移的安全框架。结论部分认为，LLM与IoT融合正在推动医疗、工业、能源和交通等场景形成新一代智能自主系统，但其攻防两面性极为突出：一方面，LLM显著提升了入侵检测、威胁情报和设备识别能力；另一方面，提示注入、模型提取、后门攻击和隐私泄露也构成了新的复合型风险。文章最终强调，只有通过人工智能安全、物联网工程、密码学与领域知识的跨学科协作，才能使LLM-IoT集成的变革潜力在安全可控的条件下真正实现。