2026-06-18 — views
自駕車資安 — 可能阻斷實體 AI 浪潮的攻擊面全景
自駕車是聯網的電腦。大規模車隊遭駭可致人死亡,並讓實體 AI 投資論題倒退數年。
實體 AI 基準系列第 85 篇 — 自駕車資安:可能阻斷實體 AI 浪潮的攻擊面全景
自駕車不是剛好跑了軟體的汽車。它們是裝了輪子的聯網電腦,對時速高速行駛的兩噸機器擁有即時控制權。每一條行動網路連線、每一條 OTA 更新管道、每一套感測器系統、每一塊 HD 地圖磁磚、每一個車隊管理 API,都是攻擊面。對人類駕駛的車輛,一次網路攻擊可以讓駕駛不便;對自駕車,同樣的攻擊可以奪命。
一次針對商業 AV 車隊的大規模網路攻擊——在數百輛車上同時觸發緊急煞車、錯誤導航或感測器欺騙——可能造成人員死亡、引發災難性民事賠償、觸發緊急監管停業,並讓實體 AI 的投資論題倒退數年。這不是假設情境。攻擊向量已有文獻記載,研究示範已公開發表,而且隨著每輛新車加入聯網車隊,攻擊面還在持續擴大。
本文盤點 AV 資安全景:為何 AV 攻擊比攻擊傳統車輛更危險、五大主要攻擊面、已記錄的概念驗證研究、主要業者的安全姿態比較,以及影響涉中 AV 業者的 CFIUS 國家安全維度。
第一節 — 為何自駕車資安具有獨特危險性
| 風險維度 | 人駕車輛 | 自駕車輛 | 為何更嚴重 |
|---|---|---|---|
| 遠端接管 | 極低——無自主控制系統 | 高——行動網路/V2X 連線可實現遠端控制 | AV 方向盤/煞車由電腦控制;遠端程式碼執行等於遠端駕駛 |
| 車隊規模攻擊 | 個別車輛;無車隊連線 | 單一漏洞可同時影響數千輛車 | 商業車隊聯網;一個漏洞等於全隊暴露 |
| GPS 欺騙 | 駕駛忽略錯誤導航;靠眼睛判斷 | AV 可能跟隨被欺騙的 GPS 駛入錯誤車道或道路 | 純視覺 AV 較不脆弱(可交叉驗證);依賴 HD 地圖的 AV 更依賴 GPS |
| 感測器對抗攻擊 | 人類視覺對對抗模式具有魯棒性 | 攝影機系統易受對抗貼紙/圖案迷惑神經網路的攻擊 | 研究已示範:帶貼紙的停車標誌被分類為限速標誌 |
| OTA 更新管道 | 不適用 | 遭入侵的 OTA 等於惡意程式碼在一夜之間推送至整個車隊 | Tesla 和 Waymo 均使用 OTA;供應鏈攻擊後果可能是災難性的 |
| HD 地圖污染 | 不適用 | 被篡改的地圖資料可能將車輛導入危險區域 | Waymo 對 HD 地圖的依賴創造了全新攻擊面 |
| V2X 通訊 | 不適用 | 車聯網通訊可被偽造交通號誌/基礎設施利用 | 未來 V2X 基礎設施可能被針對性攻擊以大規模操控 AV 行為 |
核心不對稱性在於:對人駕車輛,人類駕駛是一個獨立於任何數位系統運作的自主安全層。對自駕車,安全層本身就是數位系統。當數位系統遭到入侵,就沒有獨立的備援機制。
第二節 — 已記錄的攻擊研究
研究記錄顯示一貫的規律:攻擊向量是真實的,示範在受控環境中已成功,業界也以修補和架構調整作出回應。以下發現均為概念驗證研究,非已確認的惡意真實攻擊。
| 攻擊類型 | 研究發現 | 年份 | 嚴重性 |
|---|---|---|---|
| Tesla 遠端接管 | 騰訊科恩實驗室透過行動網路示範遠端控制 Tesla Model S——方向盤、煞車、車門鎖 | 2016, 2019 | 嚴重(已修補) |
| Tesla Autopilot 攝影機欺騙 | McAfee 研究者讓搭載 Autopilot 的 Tesla 誤讀修改版限速標誌並加速至 85 mph | 2020 | 高 |
| LiDAR 欺騙(研究) | 研究者示範欺騙 LiDAR 點雲以創造虛擬障礙物或從 AV 感知中消除真實物體 | 2019–2022 | 高 |
| GPS 欺騙(真實世界) | 俄羅斯軍事 GPS 干擾在赫爾辛基和塔林機場附近造成商業航班導航異常——HD 地圖 AV 存在同樣漏洞 | 2024 | 中高 |
| 停車標誌對抗貼紙 | 研究示範帶小貼紙的停車標誌被神經網路分類器誤識為限速或讓行標誌 | 2017–2019 | 高(真實世界可部署性存爭議) |
| CAN 匯流排注入(舊型車) | 研究者透過 OBD 連接埠直接向 CAN 匯流排注入指令——加速、轉向、煞車 | 2015(Jeep Cherokee) | 嚴重(非 AV;架構已改進) |
| Waymo/Cruise(未見接管公開報告) | 截至 2026 年中,未有商業 AV 系統被成功遠端接管的公開報告(估計) | — | 未知(未曝光?) |
對抗性 ML 攻擊類別尤其值得關注,因為它不需要網路存取,也不需要軟體漏洞。一台印表機和膠帶就已足夠。在真實資料分佈上訓練的端對端神經網路,天然對落在訓練分佈邊緣的輸入具有結構性脆弱性。這正是為何多感測器融合對此類攻擊提供結構性防禦,而純視覺系統承受更高的對抗性暴露。
第三節 — 五大主要 AV 攻擊面
攻擊面一:行動網路與遠程資訊連線
每輛商業 AV 都維持持續的行動網路連線,用於車隊監控、遠端協助、OTA 更新和乘客應用程式。這條連線是雙向管道:資料向外流,軟體向內流。攻擊向量包括行動網路攔截、SIM 複製,以及透過遠程資訊單元(每輛 AV 必備的常開網路閘道)執行遠端程式碼。緩解措施包括加密的 TLS/mTLS 通訊、HSM 金鑰儲存,以及行動網路切片以隔離 AV 流量。
攻擊面二:OTA 更新管道
以無線方式向車隊部署軟體更新是後果最嚴重的單一攻擊面。遭入侵的 OTA 管道可以在一夜之間向整個車隊推送惡意程式碼。攻擊向量包括更新伺服器的供應鏈入侵、程式碼簽章金鑰竊取,以及重新安裝有漏洞舊版本的回滾攻擊。緩解措施需要以硬體支援金鑰進行程式碼簽章、分段推出、回滾偵測,以及車輛端更新驗證。
攻擊面三:感測器系統(攝影機、LiDAR、雷達)
AV 感知依賴持續的感測器輸入。攻擊向量包括干擾攝影機神經網路的對抗性實體圖案(貼紙、投影圖像、粉刷標線)、創造虛擬物體或消除真實物體的雷射 LiDAR 欺騙、雷達干擾,以及強光或紅外線雷射的攝影機致盲。主要緩解措施是多感測器冗餘:沒有任何單一感測器可以在未獲得獨立感測器模態驗證的情況下發出安全關鍵指令。
攻擊面四:HD 地圖與定位資料
Waymo 式車輛依據預建的 HD 地圖進行定位。攻擊向量包括透過地圖更新管道推送的污染地圖磁磚、強制位置不匹配的 GPS 欺騙,以及針對地圖資料簽章的密碼學攻擊。純視覺不依賴 HD 地圖的系統完全消除了這個攻擊面。
攻擊面五:V2X(車聯網)通訊
下一代 AV 基礎設施將包括車輛與交通號誌、緊急車輛和道路基礎設施之間的直接通訊。攻擊向量包括操控 AV 行為的偽造交通號誌,以及 V2X 廣播的協調多車輛攻擊。美國運輸部的安全憑證管理系統(SCMS)為 V2X 訊息提供基於 PKI 的驗證,但基礎設施尚未廣泛部署。
第四節 — 主要業者安全姿態比較
| 安全維度 | Tesla | Waymo | Aurora | 備註 |
|---|---|---|---|---|
| 漏洞獎勵計畫 | 有——Tesla 自 2014 年起設有漏洞獎勵;嚴重車輛漏洞最高支付逾 $15,000(估計) | 不明——無公開漏洞獎勵計畫(估計) | 不明 | Tesla 透明的漏洞獎勵具有正面安全意義 |
| 行動網路架構 | 專有 Tesla 行動網路加 WiFi;加密通訊;已知使用 HSM | 專有車隊遠程資訊 | 商業行動網路加專有 | |
| OTA 安全 | 程式碼簽章 OTA;分段推出;逾 15 年部署的大量實績 | 程式碼簽章;廣泛推送前車隊驗證 | 有限的 OTA 歷史 | Tesla 擁有最成熟的 OTA 安全機制 |
| 感測器對抗魯棒性 | 純視覺——對攝影機的對抗攻擊是主要暴露;端對端神經網路可能比模組系統更魯棒或更脆弱 | 全感測器融合——對抗攻擊必須同時擊敗攝影機、LiDAR 和雷達 | 完整套件 | 多感測器融合透過冗餘提供更好的對抗魯棒性 |
| HD 地圖攻擊面 | 無——不依賴 HD 地圖 | 存在——HD 地圖管道是攻擊面 | 無(無 HD 地圖) | 純視覺完全消除 HD 地圖攻擊面 |
| 政府安全審查 | 美國為基地;無已知 CFIUS 問題 | 美國為基地;無已知 CFIUS 問題 | 美國為基地;TuSimple 後 CFIUS 意識高 | 有中國關聯的 AV 公司面臨 CFIUS 審查 |
| 已公開安全事件 | 多個研究示範;均已修補;無消費者受害 | 未有公開 | 未有公開 |
第五節 — CFIUS 維度:涉中 AV 業者
另一類不同的資安風險適用於與中國企業存在關聯的 AV 公司:資料主權與潛在情報存取。AV 車隊持續拍攝美國街道、基礎設施和民眾行為的影像。一個資料流向中國控制伺服器的車隊,是獨立於任何主動網路攻擊之外的國家安全問題。
| 公司 | 中國關聯 | CFIUS 和安全狀況 |
|---|---|---|
| TuSimple | 中國創始人;向中國實體出售技術 | 遭 CFIUS 和司法部調查;美國業務實際上已關閉 |
| Pony.ai | 中美創始人;在中美兩地運營 | CFIUS 審查進行中;那斯達克上市;限制跨境資料共享 |
| WeRide | 中美;在中美兩地運營 | 類似 CFIUS 審查;限制跨境資料 |
| Waymo / Tesla / Aurora | 美國為基地;無重大中國企業所有權 | 不受所有權基礎上的 CFIUS 審查 |
CFIUS 已成為阻止涉中 AV 公司在美商業運營的主要監管工具。TuSimple 的停業是先例。Pony.ai 的那斯達克上市無法使其免受 CFIUS 行動的影響。投資涉中 AV 公司的投資者,隱含地持有 CFIUS 風險部位。
第六節 — 系統性風險情境
上述個別攻擊情境已很嚴重。系統性風險情境則嚴重數個數量級。
針對商業 AV 車隊的協調攻擊——在整個聯網車隊中部署單一零日漏洞——可能在一個都會區同時觸發數百輛車的安全事故。後果將遠超直接傷亡:
監管回應: 對商業 AV 運營的緊急停業令,不只針對受影響的車隊。每個批准商業 AV 部署的監管機構都將面臨立即暫停所有許可的政治壓力,等待安全審計完成。
民事賠償: AV 運營商、車輛製造商、感測器供應商,以及可能包括雲端基礎設施提供商的集體訴訟。保險業者將立即重新定價 AV 車隊保險或退出市場。
公眾信任崩潰: 被報導為交通基礎設施恐怖攻擊的高調安全事件,將讓公眾對 AV 的信任倒退十年。監管和保險環境將跟隨公眾輿論。
資安架構不是邊緣問題——它是整個 AV 投資論題的承重基礎設施。
第七節 — 關於本系列
這是實體 AI 基準系列的第 85 篇。本文新增資安維度:為何 AV 攻擊比傳統車輛攻擊更危險、五大主要攻擊面(行動網路連線、OTA 管道、感測器系統、HD 地圖、V2X)、已記錄的概念驗證研究發現、Tesla、Waymo 和 Aurora 的安全姿態比較分析、涉中 AV 業者的 CFIUS 國家安全維度,以及可能阻斷實體 AI 浪潮的系統性風險情境。
注意: Tesla、Waymo 和 Aurora 的安全架構細節基於公開的公司披露、研究人員出版物和行業分析。內部實施細節未知的描述標記為「(估計)」,應視為方向性估計。引用的研究發現均為概念驗證示範,非已確認的惡意真實攻擊。CFIUS 狀態反映截至 2026 年中(估計)的公開資訊。本文不構成投資建議。
來源
- Tencent Keen Security Lab Tesla research — Keen Lab ↗
- NHTSA cybersecurity best practices for AVs — NHTSA ↗
- Tesla bug bounty program — Tesla ↗
- V2X Security Credential Management System — USDOT ↗
- GPS spoofing near conflict zones — GPS World ↗