📊 报告来源:上海车联网协会 & 山东泽鹿安全技术有限公司
导语
你的车可能正在被黑客攻击。不是危言耸听——2025年,有792名白帽黑客对着75款实车进行了18场攻防演练,发现了大量可以让黑客远程控制你车辆的漏洞。汽车,正在成为网络安全的新战场。
核心发现
- 全年18场攻防演练与实车漏洞挖掘赛事,覆盖22个品牌、75款车型,210支战队、792名白帽黑客参与
- 构建低危/中危/高危/严重四级漏洞分级体系,强调场景感知、攻击链视角与可操作性原则
- 五大技术风险域:身份认证缺陷、访问控制不当、固件防护薄弱、通信协议安全不足、网络暴露面治理缺失
- 中低危风险组合可导致高危/严重风险:凭据暴露+会话治理缺陷可导致远程车辆控制
- AI与自动驾驶技术加速落地带来新型攻击面,云端暴露面治理不足形成「企业IT—车云平台」攻击链
深度解读
汽车网络安全这件事,以前车企不太重视——「我的车又不会联网,怕什么黑客?」但现在的车越来越像一台装了四个轮子的智能手机,OTA升级、远程控制、车联网、自动驾驶……每一项功能都是潜在的攻击入口。报告里的数据很直观:792名白帽黑客、75款实车、18场演练。他们发现的问题不是「理论上可能」,而是「现场演示给你看」——比如通过某个未加密的通信协议,可以远程解锁车门、启动引擎。最可怕的是攻击链的组合效应:单独一个中危漏洞可能没什么,但两个中危漏洞组合起来,就能实现远程车辆控制。这意味着车企的安全防护不能是「单点防御」,必须是「体系化防御」。报告建议的「主动治理」思路是对的——与其等出了事再补丁,不如在设计阶段就把安全考虑进去。
一句话总结
汽车正在成为网络攻击的新目标,792名白帽黑客的实车演练证明:漏洞不是理论风险,是现实威胁。