2026-06-18 — views
自动驾驶网络安全 — 可能阻断实体 AI 浪潮的攻击面全景
自动驾驶车辆是联网的计算机。大规模车队遭到攻击可致人死亡,并让实体 AI 投资逻辑倒退数年。
实体 AI 基准系列第 85 篇 — 自动驾驶网络安全:可能阻断实体 AI 浪潮的攻击面全景
自动驾驶汽车不是恰好运行了软件的汽车。它们是安装了轮子的联网计算机,对时速高速行驶的两吨机器拥有实时控制权。每一条移动网络连接、每一条 OTA 更新管道、每一套传感器系统、每一块 HD 地图瓦片、每一个车队管理 API,都是攻击面。对人类驾驶的车辆,一次网络攻击可以让驾驶者不便;对自动驾驶车辆,同样的攻击可以夺命。
一次针对商业 AV 车队的大规模网络攻击——在数百辆车上同时触发紧急制动、错误导航或传感器欺骗——可能造成人员死亡、引发灾难性民事赔偿、触发紧急监管停业,并让实体 AI 的投资逻辑倒退数年。这不是假设情景。攻击向量已有文献记载,研究演示已公开发表,而且随着每辆新车加入联网车队,攻击面还在持续扩大。
本文梳理 AV 网络安全全景:为何 AV 攻击比攻击传统车辆更危险、五大主要攻击面、已记录的概念验证研究、主要企业的安全态势比较,以及影响涉华 AV 企业的 CFIUS 国家安全维度。
第一节 — 为何自动驾驶网络安全具有独特危险性
| 风险维度 | 人驾车辆 | 自动驾驶车辆 | 为何更严重 |
|---|---|---|---|
| 远程接管 | 极低——无自主控制系统 | 高——移动网络/V2X 连接可实现远程控制 | AV 方向盘/制动由计算机控制;远程代码执行等于远程驾驶 |
| 车队规模攻击 | 单辆车辆;无车队连接 | 单一漏洞可同时影响数千辆车 | 商业车队联网;一个漏洞等于全队暴露 |
| GPS 欺骗 | 驾驶者忽略错误导航;靠眼睛判断 | AV 可能跟随被欺骗的 GPS 驶入错误车道或道路 | 纯视觉 AV 较不脆弱(可交叉验证);依赖 HD 地图的 AV 更依赖 GPS |
| 传感器对抗攻击 | 人类视觉对对抗模式具有鲁棒性 | 摄像头系统易受对抗贴纸/图案迷惑神经网络的攻击 | 研究已演示:带贴纸的停车标志被分类为限速标志 |
| OTA 更新管道 | 不适用 | 遭入侵的 OTA 等于恶意代码在一夜之间推送至整个车队 | Tesla 和 Waymo 均使用 OTA;供应链攻击后果可能是灾难性的 |
| HD 地图污染 | 不适用 | 被篡改的地图数据可能将车辆导入危险区域 | Waymo 对 HD 地图的依赖创造了全新攻击面 |
| V2X 通信 | 不适用 | 车联网通信可被伪造交通信号灯/基础设施利用 | 未来 V2X 基础设施可能被针对性攻击以大规模操控 AV 行为 |
核心不对称性在于:对人驾车辆,人类驾驶者是一个独立于任何数字系统运作的自主安全层。对自动驾驶车辆,安全层本身就是数字系统。当数字系统遭到入侵,就没有独立的备援机制。
第二节 — 已记录的攻击研究
| 攻击类型 | 研究发现 | 年份 | 严重性 |
|---|---|---|---|
| Tesla 远程接管 | 腾讯科恩实验室通过移动网络演示远程控制 Tesla Model S——方向盘、制动、车门锁 | 2016, 2019 | 严重(已修补) |
| Tesla Autopilot 摄像头欺骗 | McAfee 研究者让搭载 Autopilot 的 Tesla 误读修改版限速标志并加速至 85 mph | 2020 | 高 |
| LiDAR 欺骗(研究) | 研究者演示欺骗 LiDAR 点云以创造虚拟障碍物或从 AV 感知中消除真实物体 | 2019–2022 | 高 |
| GPS 欺骗(真实世界) | 俄罗斯军事 GPS 干扰在赫尔辛基和塔林机场附近造成商业航班导航异常——HD 地图 AV 存在同样漏洞 | 2024 | 中高 |
| 停车标志对抗贴纸 | 研究演示带小贴纸的停车标志被神经网络分类器误识为限速或让行标志 | 2017–2019 | 高(真实世界可部署性存争议) |
| CAN 总线注入(旧型车) | 研究者通过 OBD 接口直接向 CAN 总线注入指令——加速、转向、制动 | 2015(Jeep Cherokee) | 严重(非 AV;架构已改进) |
| Waymo/Cruise(未见接管公开报告) | 截至 2026 年中,未有商业 AV 系统被成功远程接管的公开报告(估计) | — | 未知(未曝光?) |
对抗性 ML 攻击类别尤其值得关注,因为它不需要网络访问,也不需要软件漏洞。一台打印机和胶带就已足够。这正是为何多传感器融合对此类攻击提供结构性防御,而纯视觉系统承受更高的对抗性暴露。
第三节 — 五大主要 AV 攻击面
攻击面一:移动网络与车载通信连接
每辆商业 AV 都维持持续的移动网络连接,用于车队监控、远程协助、OTA 更新和乘客应用程序。这条连接是双向管道:数据向外流,软件向内流。攻击向量包括移动网络拦截、SIM 克隆,以及通过车载通信单元(每辆 AV 必备的常开网络网关)执行远程代码。缓解措施包括加密的 TLS/mTLS 通信、HSM 密钥存储,以及移动网络切片以隔离 AV 流量。
攻击面二:OTA 更新管道
以无线方式向车队部署软件更新是后果最严重的单一攻击面。遭入侵的 OTA 管道可以在一夜之间向整个车队推送恶意代码。攻击向量包括更新服务器的供应链入侵、代码签名密钥窃取,以及重新安装有漏洞旧版本的回滚攻击。缓解措施需要以硬件支持密钥进行代码签名、分阶段推出、回滚检测,以及车辆端更新验证。
攻击面三:传感器系统(摄像头、LiDAR、雷达)
AV 感知依赖持续的传感器输入。攻击向量包括干扰摄像头神经网络的对抗性物理图案(贴纸、投影图像、粉刷标线)、创造虚拟物体或消除真实物体的激光 LiDAR 欺骗、雷达干扰,以及强光或红外激光的摄像头致盲。主要缓解措施是多传感器冗余:没有任何单一传感器可以在未获得独立传感器模态验证的情况下发出安全关键指令。
攻击面四:HD 地图与定位数据
Waymo 式车辆依据预建的 HD 地图进行定位。攻击向量包括通过地图更新管道推送的污染地图瓦片、强制位置不匹配的 GPS 欺骗,以及针对地图数据签名的密码学攻击。纯视觉不依赖 HD 地图的系统完全消除了这个攻击面。
攻击面五:V2X(车联网)通信
下一代 AV 基础设施将包括车辆与交通信号灯、紧急车辆和道路基础设施之间的直接通信。攻击向量包括操控 AV 行为的伪造交通信号灯,以及 V2X 广播的协调多车辆攻击。美国运输部的安全凭证管理系统(SCMS)为 V2X 消息提供基于 PKI 的身份验证,但基础设施尚未广泛部署。
第四节 — 主要企业安全态势比较
| 安全维度 | Tesla | Waymo | Aurora | 备注 |
|---|---|---|---|---|
| 漏洞奖励计划 | 有——Tesla 自 2014 年起设有漏洞奖励;严重车辆漏洞最高支付逾 $15,000(估计) | 不明——无公开漏洞奖励计划(估计) | 不明 | Tesla 透明的漏洞奖励具有正面安全意义 |
| 移动网络架构 | 专有 Tesla 移动网络加 WiFi;加密通信;已知使用 HSM | 专有车队远程信息 | 商业移动网络加专有 | |
| OTA 安全 | 代码签名 OTA;分阶段推出;逾 15 年部署的大量实绩 | 代码签名;广泛推送前车队验证 | 有限的 OTA 历史 | Tesla 拥有最成熟的 OTA 安全机制 |
| 传感器对抗鲁棒性 | 纯视觉——对摄像头的对抗攻击是主要暴露 | 全传感器融合——对抗攻击必须同时击败摄像头、LiDAR 和雷达 | 完整套件 | 多传感器融合通过冗余提供更好的对抗鲁棒性 |
| HD 地图攻击面 | 无——不依赖 HD 地图 | 存在——HD 地图管道是攻击面 | 无(无 HD 地图) | 纯视觉完全消除 HD 地图攻击面 |
| 政府安全审查 | 美国为基地;无已知 CFIUS 问题 | 美国为基地;无已知 CFIUS 问题 | 美国为基地;TuSimple 后 CFIUS 意识高 | 有中国关联的 AV 公司面临 CFIUS 审查 |
| 已公开安全事件 | 多个研究演示;均已修补;无消费者受害 | 未有公开 | 未有公开 |
第五节 — CFIUS 维度:涉华 AV 企业
另一类不同的安全风险适用于与中国企业存在关联的 AV 公司:数据主权与潜在情报访问。AV 车队持续拍摄美国街道、基础设施和民众行为的影像。一个数据流向中国控制服务器的车队,是独立于任何主动网络攻击之外的国家安全问题。
| 公司 | 中国关联 | CFIUS 和安全状况 |
|---|---|---|
| TuSimple | 中国创始人;向中国实体出售技术 | 遭 CFIUS 和司法部调查;美国业务实际上已关闭 |
| Pony.ai | 中美创始人;在中美两地运营 | CFIUS 审查进行中;纳斯达克上市;限制跨境数据共享 |
| WeRide | 中美;在中美两地运营 | 类似 CFIUS 审查;限制跨境数据 |
| Waymo / Tesla / Aurora | 美国为基地;无重大中国企业所有权 | 不受所有权基础上的 CFIUS 审查 |
CFIUS 已成为阻止涉华 AV 公司在美商业运营的主要监管工具。TuSimple 的停业是先例。投资涉华 AV 公司的投资者,隐含地持有 CFIUS 风险头寸。
第六节 — 关于本系列
这是实体 AI 基准系列的第 85 篇。本文新增网络安全维度:为何 AV 攻击比传统车辆攻击更危险、五大主要攻击面(移动网络连接、OTA 管道、传感器系统、HD 地图、V2X)、已记录的概念验证研究发现、Tesla、Waymo 和 Aurora 的安全态势比较分析、涉华 AV 企业的 CFIUS 国家安全维度,以及可能阻断实体 AI 浪潮的系统性风险情景。
注意: Tesla、Waymo 和 Aurora 的安全架构细节基于公开的公司披露、研究人员出版物和行业分析。内部实施细节未知的描述标记为”(估计)“,应视为方向性估计。引用的研究发现均为概念验证演示,非已确认的恶意真实攻击。CFIUS 状态反映截至 2026 年中(估计)的公开信息。本文不构成投资建议。
来源
- Tencent Keen Security Lab Tesla research — Keen Lab ↗
- NHTSA cybersecurity best practices for AVs — NHTSA ↗
- Tesla bug bounty program — Tesla ↗
- V2X Security Credential Management System — USDOT ↗
- GPS spoofing near conflict zones — GPS World ↗