黑客大會上，汽車廠商被群嘲

撰文| 魏 微

| 黃大路

設計| 甄尤美

“我攻擊汽車制造商純粹是為了好玩?！豹毩踩芯繂T伊頓·茲維爾（Eaton Zveare）在2025年8月舉行的DEF CON極客大會上說道。

獨立安全研究員，一個更廣為人知的名字是“白帽黑客”或“道德黑客”。而DEF CON這一被譽為“黑客奧斯卡”的盛會，便是他們的重要舞臺。

該會議始于1993年，每年于拉斯維加斯召開，參與者涵蓋計算機安全專家、研究員、記者、政府人員及律師，構成了一個極具影響力的多元社群。

“DEF CON大會”主要涉及的領域包括軟件安全、計算機架構、硬件修改和其他容易受到攻擊的信息領域。

在2025年的DEF CON大會上，汽車制造商成了參會黑客們的嘲笑對象。用伊頓·茲維爾的話說，“他們（車企）都是規模龐大、歷史悠久公司，他們的基礎設施非常龐大……但他們擁有成千上萬個子域名，每一個子域名都可能成為（黑客）攻擊的目標?！?/p>

伊頓·茲維爾在DEF CON主舞臺上還展示了他如何利用經銷商網站上的腳本創建了一個管理員賬戶。他能利用該賬戶訪問這家經銷商店所有的車主個人信息和庫存信息，還可以解鎖車輛并執行諸如啟動發動機和鳴笛等控制操作。

另有安全研究員分享道，他曾“意外”入侵一輛公交車，并稱該車輛的網絡服務器“根本不安全”。

萬幸的是，伊頓·茲維爾們是“仁慈”的白帽黑客，他們“攻擊”汽車的目的是趕在不法分子之前找到安全漏洞，并報告給車企。

盡管在自動駕駛、車載娛樂等領域不斷推陳出新，但車企在車輛安全防護上卻仍顯得力不從心。黑客無情的嘲笑聲無疑為整個行業再次敲響警鐘。

漏洞百出的“軟件定義汽車”

在2025年數博會“數據安全治理與發展”交流活動上，中國交通運輸部科學研究院交通信息研究中心人士表示，據不完全統計，在中國范圍內，自2020年以來，針對智能駕駛隱私數據的攻擊已累計達到約300萬次。

汽車電子電氣架構正向域控乃至中央計算平臺演進，“軟件定義汽車”已成為明確趨勢。但機遇與風險并存：一方面，自動駕駛、車載娛樂和車聯網（V2X）技術深化應用；另一方面，由此擴大的安全攻擊面正被不法分子緊盯，不斷推高車企的安全成本。

首當其沖的便是數據信息漏洞事件頻發。

2022年底，有黑客在網上發布信息稱破解了蔚來大量數據，包括蔚來內部員工數據22800條、車主用戶身份證數據399000條。蔚來回應稱不法分子以泄露數據向蔚來勒索225萬美元等額比特幣。

2024年2月，據外媒TechCrunch報道，寶馬的云存儲服務器發生配置錯誤事件，導致私鑰和內部數據等敏感信息暴露。

還有車主隱私泄露問題。

2021年年初，有黑客攻破特斯拉車內攝像頭，獲取其拍攝的車內畫面并發布在社交媒體平臺上，該事件引發廣泛傳播并引起關注。

2024年4月，一段在高合汽車內拍攝的不雅影像也在社交媒體中傳播。高合汽車針對該事件曾回應稱，高合車機后臺從技術和法律上都無法遠程調取攝像頭本地影像，車機端數據在技術鏈路上滿足國家信息安全要求，車內攝像頭記錄的本地圖像數據不會上傳云端。

然而這些回應很難打消人們的擔心，畢竟車企道高一尺，黑客們魔高一丈。

遠程攻擊則是智能汽車最令人擔憂的安全隱患之一，因為通過入侵車載網絡與通信系統，黑客可以遠程操控車輛，甚至引發車輛失控帶來更致命的后果。

2023年，有黑客試圖通過特斯拉的OTA系統漏洞遠程干預車輛行駛，所幸特斯拉安全團隊及時攔截了攻擊。

同年，特斯拉的無鑰匙進入系統曝出重大安全漏洞，攻擊者通過對BLE低功耗藍牙通訊的中繼攻擊，可以在10秒內解鎖一輛特斯拉 Model 3或Model Y。

更諷刺的是，執行以上攻擊一點都不難，只需要在車主手機或密鑰卡和車輛的附近放置一臺解碼感應設備，經過簡單的代碼執行就能解鎖車輛開走汽車，而完成這樣的攻擊所需的硬件和軟件設備部件，在網上就能輕易買到。

這一起案例相當典型，同時也給其他車企帶來警示，因為新能源汽車中的無鑰匙進入功能都和特斯拉大同小異，都存在相關漏洞或被攻擊的風險。

經銷商系統、二手車更是信息泄露的重災區。

2024年，美國汽車經銷商管理系統巨頭CDK Global，因黑客索要贖金而被迫關閉系統。

專門從事車輛數據隱私保護的Privacy4Cars公司首席執行官安德烈亞·阿米科（Andrea Amico）表示，“二手車類似一個大型、未加密的硬盤驅動器，其中充滿了消費者的敏感個人信息，包括標識符、地理位置、生物識別和電話記錄。這帶來了日益增長的監管挑戰和公司根據一系列現有和新的州法律所面臨的義務。”

隨著隱私意識的提升和相關法規的出臺，目前Privacy4Cars的客戶群已經涵蓋了汽車金融公司、車隊、經銷商和車企。

此外，OTA（空中下載）機制下，黑客也能利用漏洞遠程篡改控制系統或竊取車主數據。

智能汽車不僅是“四個輪子+電腦”，更是隱私數據的“移動保險庫”。從GPS定位、駕駛習慣到個人身份信息，車載系統持續收集大量用戶數據。一旦黑客入侵系統，這些數據便可能被輕易竊取并用于非法用途。

對于車企來說，隨著汽車與用戶數據的綁定日益緊密，隱私保護壓力也與日俱增。

是車企不作為嗎？

當智能汽車化身為科技產品，它便不可避免地落入了互聯網行業的經典發展模式——“唯快不破”，也無法避免被黑客盯上。

然而，與個人計算機系統、智能手機漏洞不同，智能汽車的網絡安全漏洞帶來的風險是更加致命的。

盡管遭受著白帽黑客的無情嘲笑，和不法分子的瘋狂攻擊，但這并不是說車企完全無視安全。

“大多數情況下，漏洞都很難修復?！盤CA網絡安全公司負責嵌入式設備研究和測試的工程師達尼洛·埃拉索（Danilo Erazo）說道。

達尼洛·埃拉索在汽車黑客村（Car Hacking Village）上，講述了他如何替換車載信息娛樂系統中原本引導用戶訪問汽車制造商官方網站的圖片，用戶掃描二維碼后會被重定向到一個惡意頁面，黑客可以利用該頁面訪問用戶的手機。

在他看來，汽車制造商不可能僅僅“修改一行代碼”，整個鏈條太長了。“這不像在電腦上那樣，你只需要創建一個補丁，然后安裝它就行了。”達尼洛·埃拉索認為，各汽車制造商必須與產業鏈上下游的各個環節共同努力，才能確保車輛安全。

此外，汽車漫長的安全測試與驗證周期，往往會讓位于搶占首發優勢的產品節點。

一個典型的矛盾體現在OTA升級上，車企固然可以借此快速修復漏洞，但更普遍的情況是，為了趕上市期限，許多尚未完全成熟、未經充分安全測試的軟件被率先裝車交付，將“發布后再修復”互聯網公司模式帶入了關乎用戶生命安全的汽車領域。

一輛智能汽車的軟件代碼可能來自數十家甚至上百家不同的供應商。整車廠如同一個總裝廠，將這些“黑盒”模塊集成在一起，卻難以對每一行代碼進行徹底的安全審計。

一個不起眼的第三方軟件庫，或是某個信息娛樂系統中的開源組件，都可能成為黑客長驅直入的后門。安全研究人員曾在一款暢銷電動車的電池管理系統中，發現其供應商使用的開源協議棧存在已知漏洞，如果被不法分子攻擊，就能導致車輛在充電時被遠程“鎖死”。

如果任由智能汽車安全漏洞擴大，不斷累積的“安全負債”，將以兩種方式被兌現：一是由消費者以他們的隱私和安全來支付，二是由車企在遭遇重大安全事故后，以高昂的品牌聲譽損失和天價補救成本來償還。

當然，車企和政府都不會任由這樣的惡果出現。

“亡羊補牢”，永遠不晚

盡管當前車企在網絡安全方面仍面臨諸多挑戰，但這并不意味著智能汽車無法實現安全可控的未來。越來越多的車企與網絡安全公司已意識到問題的重要性，并開始積極應對。

像伊頓·茲維爾一樣的白帽黑客，也就是獨立安全研究員，在推動汽車行業安全建設中扮演著重要角色。

車企開始與他們合作，通過漏洞獎勵計劃等方式，主動發現并修復潛在安全隱患。

特斯拉是與白帽黑客合作最密切的車企之一。比如，特斯拉通過提供豐厚獎金和旗下電動汽車的方式，積極參與Pwn2Own等黑客競賽。

在2024年舉行的黑客大賽中，一支技術精湛的黑客團隊成功破解了特斯拉汽車的安全系統，因這一突破性的發現贏得了高達20萬美元的獎金，并獲得了了一輛全新的特斯拉Model 3作為獎品。

這種“攻防共生”的模式，既幫助車企強化安全防護，也為網絡安全研究者提供了合法的測試與反饋渠道。

除了技術層面與黑客賽跑，為應對智能汽車帶來的安全挑戰，多國和地區已陸續出臺相關法規。

例如，歐盟于2021年通過的《汽車網絡安全法》明確規定，汽車制造商必須在設計、生產及售后全生命周期中遵循嚴格的網絡安全標準，并定期更新安全系統，以防范網絡攻擊。在美國，國家公路交通安全管理局（NHTSA）和商務部工業與安全局（BIS）牽頭，也通過多項規則和計劃來構建監管框架。
在中國，自2021年起已相繼出臺了《汽車數據安全管理若干規定（試行）》、《車聯網網絡安全異常行為檢測機制》及《智能網聯汽車 自動駕駛系統安全要求》等一系列法規與標準，共同構建起覆蓋車聯網網絡安全、自動駕駛系統安全等領域的監管框架。

黑客大會的“漏洞秀”，預示著智能汽車的安全之路注定不會平坦。隨著全球監管體系日趨完善，車企也將面臨更高的合規要求。未來，網絡安全能力也將成為車企的核心競爭力之一。