撰文| 魏 微

| 黃大路

設計| 甄尤美

“我攻擊汽車制造商純粹是為了好玩。”獨立安全研究員伊頓·茲維爾（Eaton Zveare）在2025年8月舉行的DEF CON極客大會上說道。

獨立安全研究員，一個更廣為人知的名字是“白帽黑客”或“道德黑客”。而DEF CON這一被譽為“黑客奧斯卡”的盛會，便是他們的重要舞臺。

該會議始于1993年，每年于拉斯維加斯召開，參與者涵蓋計算機安全專家、研究員、記者、政府人員及律師，構(gòu)成了一個極具影響力的多元社群。

“DEF CON大會”主要涉及的領域包括軟件安全、計算機架構(gòu)、硬件修改和其他容易受到攻擊的信息領域。

在2025年的DEF CON大會上，汽車制造商成了參會黑客們的嘲笑對象。用伊頓·茲維爾的話說，“他們（車企）都是規(guī)模龐大、歷史悠久公司，他們的基礎設施非常龐大……但他們擁有成千上萬個子域名，每一個子域名都可能成為（黑客）攻擊的目標?！?/p>

伊頓·茲維爾在DEF CON主舞臺上還展示了他如何利用經(jīng)銷商網(wǎng)站上的腳本創(chuàng)建了一個管理員賬戶。他能利用該賬戶訪問這家經(jīng)銷商店所有的車主個人信息和庫存信息，還可以解鎖車輛并執(zhí)行諸如啟動發(fā)動機和鳴笛等控制操作。

另有安全研究員分享道，他曾“意外”入侵一輛公交車，并稱該車輛的網(wǎng)絡服務器“根本不安全”。

萬幸的是，伊頓·茲維爾們是“仁慈”的白帽黑客，他們“攻擊”汽車的目的是趕在不法分子之前找到安全漏洞，并報告給車企。

盡管在自動駕駛、車載娛樂等領域不斷推陳出新，但車企在車輛安全防護上卻仍顯得力不從心。黑客無情的嘲笑聲無疑為整個行業(yè)再次敲響警鐘。

漏洞百出的“軟件定義汽車”

在2025年數(shù)博會“數(shù)據(jù)安全治理與發(fā)展”交流活動上，中國交通運輸部科學研究院交通信息研究中心人士表示，據(jù)不完全統(tǒng)計，在中國范圍內(nèi)，自2020年以來，針對智能駕駛隱私數(shù)據(jù)的攻擊已累計達到約300萬次。

汽車電子電氣架構(gòu)正向域控乃至中央計算平臺演進，“軟件定義汽車”已成為明確趨勢。但機遇與風險并存：一方面，自動駕駛、車載娛樂和車聯(lián)網(wǎng)（V2X）技術(shù)深化應用；另一方面，由此擴大的安全攻擊面正被不法分子緊盯，不斷推高車企的安全成本。

首當其沖的便是數(shù)據(jù)信息漏洞事件頻發(fā)。

2022年底，有黑客在網(wǎng)上發(fā)布信息稱破解了蔚來大量數(shù)據(jù)，包括蔚來內(nèi)部員工數(shù)據(jù)22800條、車主用戶身份證數(shù)據(jù)399000條。蔚來回應稱不法分子以泄露數(shù)據(jù)向蔚來勒索225萬美元等額比特幣。

2024年2月，據(jù)外媒TechCrunch報道，寶馬的云存儲服務器發(fā)生配置錯誤事件，導致私鑰和內(nèi)部數(shù)據(jù)等敏感信息暴露。

還有車主隱私泄露問題。

2021年年初，有黑客攻破特斯拉車內(nèi)攝像頭，獲取其拍攝的車內(nèi)畫面并發(fā)布在社交媒體平臺上，該事件引發(fā)廣泛傳播并引起關(guān)注。

2024年4月，一段在高合汽車內(nèi)拍攝的不雅影像也在社交媒體中傳播。高合汽車針對該事件曾回應稱，高合車機后臺從技術(shù)和法律上都無法遠程調(diào)取攝像頭本地影像，車機端數(shù)據(jù)在技術(shù)鏈路上滿足國家信息安全要求，車內(nèi)攝像頭記錄的本地圖像數(shù)據(jù)不會上傳云端。

然而這些回應很難打消人們的擔心，畢竟車企道高一尺，黑客們魔高一丈。

遠程攻擊則是智能汽車最令人擔憂的安全隱患之一，因為通過入侵車載網(wǎng)絡與通信系統(tǒng)，黑客可以遠程操控車輛，甚至引發(fā)車輛失控帶來更致命的后果。

2023年，有黑客試圖通過特斯拉的OTA系統(tǒng)漏洞遠程干預車輛行駛，所幸特斯拉安全團隊及時攔截了攻擊。

同年，特斯拉的無鑰匙進入系統(tǒng)曝出重大安全漏洞，攻擊者通過對BLE低功耗藍牙通訊的中繼攻擊，可以在10秒內(nèi)解鎖一輛特斯拉 Model 3或Model Y。

更諷刺的是，執(zhí)行以上攻擊一點都不難，只需要在車主手機或密鑰卡和車輛的附近放置一臺解碼感應設備，經(jīng)過簡單的代碼執(zhí)行就能解鎖車輛開走汽車，而完成這樣的攻擊所需的硬件和軟件設備部件，在網(wǎng)上就能輕易買到。

這一起案例相當?shù)湫?，同時也給其他車企帶來警示，因為新能源汽車中的無鑰匙進入功能都和特斯拉大同小異，都存在相關(guān)漏洞或被攻擊的風險。

經(jīng)銷商系統(tǒng)、二手車更是信息泄露的重災區(qū)。

2024年，美國汽車經(jīng)銷商管理系統(tǒng)巨頭CDK Global，因黑客索要贖金而被迫關(guān)閉系統(tǒng)。

專門從事車輛數(shù)據(jù)隱私保護的Privacy4Cars公司首席執(zhí)行官安德烈亞·阿米科（Andrea Amico）表示，“二手車類似一個大型、未加密的硬盤驅(qū)動器，其中充滿了消費者的敏感個人信息，包括標識符、地理位置、生物識別和電話記錄。這帶來了日益增長的監(jiān)管挑戰(zhàn)和公司根據(jù)一系列現(xiàn)有和新的州法律所面臨的義務?！?/p>

隨著隱私意識的提升和相關(guān)法規(guī)的出臺，目前Privacy4Cars的客戶群已經(jīng)涵蓋了汽車金融公司、車隊、經(jīng)銷商和車企。

此外，OTA（空中下載）機制下，黑客也能利用漏洞遠程篡改控制系統(tǒng)或竊取車主數(shù)據(jù)。

智能汽車不僅是“四個輪子+電腦”，更是隱私數(shù)據(jù)的“移動保險庫”。從GPS定位、駕駛習慣到個人身份信息，車載系統(tǒng)持續(xù)收集大量用戶數(shù)據(jù)。一旦黑客入侵系統(tǒng)，這些數(shù)據(jù)便可能被輕易竊取并用于非法用途。

對于車企來說，隨著汽車與用戶數(shù)據(jù)的綁定日益緊密，隱私保護壓力也與日俱增。

是車企不作為嗎？

當智能汽車化身為科技產(chǎn)品，它便不可避免地落入了互聯(lián)網(wǎng)行業(yè)的經(jīng)典發(fā)展模式——“唯快不破”，也無法避免被黑客盯上。

然而，與個人計算機系統(tǒng)、智能手機漏洞不同，智能汽車的網(wǎng)絡安全漏洞帶來的風險是更加致命的。

盡管遭受著白帽黑客的無情嘲笑，和不法分子的瘋狂攻擊，但這并不是說車企完全無視安全。

“大多數(shù)情況下，漏洞都很難修復?！盤CA網(wǎng)絡安全公司負責嵌入式設備研究和測試的工程師達尼洛·埃拉索（Danilo Erazo）說道。

達尼洛·埃拉索在汽車黑客村（Car Hacking Village）上，講述了他如何替換車載信息娛樂系統(tǒng)中原本引導用戶訪問汽車制造商官方網(wǎng)站的圖片，用戶掃描二維碼后會被重定向到一個惡意頁面，黑客可以利用該頁面訪問用戶的手機。

在他看來，汽車制造商不可能僅僅“修改一行代碼”，整個鏈條太長了?！斑@不像在電腦上那樣，你只需要創(chuàng)建一個補丁，然后安裝它就行了?！边_尼洛·埃拉索認為，各汽車制造商必須與產(chǎn)業(yè)鏈上下游的各個環(huán)節(jié)共同努力，才能確保車輛安全。

此外，汽車漫長的安全測試與驗證周期，往往會讓位于搶占首發(fā)優(yōu)勢的產(chǎn)品節(jié)點。

一個典型的矛盾體現(xiàn)在OTA升級上，車企固然可以借此快速修復漏洞，但更普遍的情況是，為了趕上市期限，許多尚未完全成熟、未經(jīng)充分安全測試的軟件被率先裝車交付，將“發(fā)布后再修復”互聯(lián)網(wǎng)公司模式帶入了關(guān)乎用戶生命安全的汽車領域。

一輛智能汽車的軟件代碼可能來自數(shù)十家甚至上百家不同的供應商。整車廠如同一個總裝廠，將這些“黑盒”模塊集成在一起，卻難以對每一行代碼進行徹底的安全審計。

一個不起眼的第三方軟件庫，或是某個信息娛樂系統(tǒng)中的開源組件，都可能成為黑客長驅(qū)直入的后門。安全研究人員曾在一款暢銷電動車的電池管理系統(tǒng)中，發(fā)現(xiàn)其供應商使用的開源協(xié)議棧存在已知漏洞，如果被不法分子攻擊，就能導致車輛在充電時被遠程“鎖死”。

如果任由智能汽車安全漏洞擴大，不斷累積的“安全負債”，將以兩種方式被兌現(xiàn)：一是由消費者以他們的隱私和安全來支付，二是由車企在遭遇重大安全事故后，以高昂的品牌聲譽損失和天價補救成本來償還。

當然，車企和政府都不會任由這樣的惡果出現(xiàn)。

“亡羊補牢”，永遠不晚

盡管當前車企在網(wǎng)絡安全方面仍面臨諸多挑戰(zhàn)，但這并不意味著智能汽車無法實現(xiàn)安全可控的未來。越來越多的車企與網(wǎng)絡安全公司已意識到問題的重要性，并開始積極應對。

像伊頓·茲維爾一樣的白帽黑客，也就是獨立安全研究員，在推動汽車行業(yè)安全建設中扮演著重要角色。

車企開始與他們合作，通過漏洞獎勵計劃等方式，主動發(fā)現(xiàn)并修復潛在安全隱患。

特斯拉是與白帽黑客合作最密切的車企之一。比如，特斯拉通過提供豐厚獎金和旗下電動汽車的方式，積極參與Pwn2Own等黑客競賽。

在2024年舉行的黑客大賽中，一支技術(shù)精湛的黑客團隊成功破解了特斯拉汽車的安全系統(tǒng)，因這一突破性的發(fā)現(xiàn)贏得了高達20萬美元的獎金，并獲得了了一輛全新的特斯拉Model 3作為獎品。

這種“攻防共生”的模式，既幫助車企強化安全防護，也為網(wǎng)絡安全研究者提供了合法的測試與反饋渠道。

除了技術(shù)層面與黑客賽跑，為應對智能汽車帶來的安全挑戰(zhàn)，多國和地區(qū)已陸續(xù)出臺相關(guān)法規(guī)。

例如，歐盟于2021年通過的《汽車網(wǎng)絡安全法》明確規(guī)定，汽車制造商必須在設計、生產(chǎn)及售后全生命周期中遵循嚴格的網(wǎng)絡安全標準，并定期更新安全系統(tǒng)，以防范網(wǎng)絡攻擊。在美國，國家公路交通安全管理局（NHTSA）和商務部工業(yè)與安全局（BIS）牽頭，也通過多項規(guī)則和計劃來構(gòu)建監(jiān)管框架。
在中國，自2021年起已相繼出臺了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》、《車聯(lián)網(wǎng)網(wǎng)絡安全異常行為檢測機制》及《智能網(wǎng)聯(lián)汽車 自動駕駛系統(tǒng)安全要求》等一系列法規(guī)與標準，共同構(gòu)建起覆蓋車聯(lián)網(wǎng)網(wǎng)絡安全、自動駕駛系統(tǒng)安全等領域的監(jiān)管框架。

黑客大會的“漏洞秀”，預示著智能汽車的安全之路注定不會平坦。隨著全球監(jiān)管體系日趨完善，車企也將面臨更高的合規(guī)要求。未來，網(wǎng)絡安全能力也將成為車企的核心競爭力之一。