全球智能汽车产业正面临新一轮安全考验。
在加拿大温哥华举办的Pwn2Own Automotive 2026赛事现场,法国Synacktiv团队通过串联信息泄露与越界写入漏洞,成功获取特斯拉Model 3信息娱乐系统最高控制权限。
这一突破性演示不仅为其赢得24.4万元人民币奖金,更暴露出车载系统在USB接口防护机制上的设计缺陷。
赛事数据显示,本届比赛累计发现零日漏洞37个,涉及充电桩、车载导航等核心部件。
其中Alpitronic等品牌充电设备因通信协议缺陷被攻破,攻击者可远程操控充电过程。
赛事主办方Zero Day Initiative(ZDI)强调,所有漏洞细节将在厂商完成修复后公开,目前特斯拉等企业已进入90天倒计时修复期。
行业分析指出,此类漏洞的潜在危害远超传统认知。
中国汽车技术研究中心专家表示,车载系统被控制可能导致车辆行驶数据篡改,而充电桩漏洞或引发电网连锁反应。
2025年该赛事曾曝光49个漏洞,但今年攻击难度明显降低,反映部分厂商在系统迭代中忽视安全冗余设计。
面对挑战,主要车企已启动应对机制。
特斯拉中国向新华社证实,其安全团队正基于赛事报告开发补丁程序。
德国莱茵TÜV集团建议建立"汽车网络安全红蓝对抗"机制,将攻防演练纳入研发流程。
日本经济产业省则计划年内出台《车载系统安全基准》,要求新车上市前完成渗透测试。
市场研究机构Counterpoint预测,2027年全球汽车网络安全市场规模将突破89亿美元,年复合增长率达21%。
中国电动汽车百人会秘书长张永伟认为,随着车路云一体化发展,行业需构建覆盖芯片、软件、通信的全链条防护体系,本次赛事为产业升级提供了重要预警。
汽车安全黑客大赛的成果既是安全研究的重要进展,也是对产业现状的深刻反思。
漏洞的发现本质上是一种保护——通过在恶意攻击者之前发现并修复问题,可以有效保护消费者权益和社会公共利益。
当前,随着智能汽车和充电网络的快速发展,网络安全已经成为不可回避的核心课题。
只有通过制造商的积极改进、监管部门的有力推动和安全研究社区的持续努力,才能构建起更加坚实的汽车生态安全防线,为新能源汽车产业的健康发展奠定基础。