2026-06-18 — views
自駕車資安:遠端攻擊向量,以及 Tesla 與 Waymo 如何防護其車隊
自駕車資安全景:攻擊面分析、研究記錄的威脅類別、Tesla vs Waymo 防禦架構,以及重大資安事件對整個產業的影響。
實體 AI 基準系列第 45 篇 — 資安維度
本系列過去的文章都從運營、監管或市場准入的角度審視自駕車產業的規模化進程。本篇聚焦一個鮮少被討論的風險維度:資安。一場影響商業自駕車隊的重大資安事件,不僅會損害涉事企業,更可能瓦解整個產業賴以擴張的公眾與立法信任,從而中斷所有監管審批進程。
自駕車不是裝了更好軟體的汽車。它們是持續在公共空間運行、無人駕駛的聯網 AI 機器人平台。這個組合產生了傳統汽車資安從未面對的攻擊面。本篇將繪製威脅全景、從概念層面描述研究記錄的攻擊類別、比較 Tesla 與 Waymo 的防禦姿態,並解釋為何一次成功攻擊的影響是整個產業性的,而非僅限單一公司。
第一節 — 為何自駕車特別脆弱
傳統汽車資安研究集中於 CAN 匯流排與 OBD-II 埠,這些介面需要實體接觸才能被利用。2015 年 Miller 與 Valasek 對吉普大切諾基的示範,透過行動網路實現遠端轉向與剎車控制,正是因為無需實體接觸而成為里程碑事件。自駕車則在此基礎上,將暴露程度放大了數個量級。
| 攻擊面 | 說明 | 是否為自駕車獨有? |
|---|---|---|
| 感測器欺騙 | 向 LiDAR、雷達或攝影機注入虛假資料,例如使視覺模型將停車標誌誤分類的對抗性貼片 | 部分 — 自駕車完全依賴感測器決策;人類駕駛可介入修正 |
| GPS/GNSS 欺騙 | 廣播虛假 GPS 訊號導致地圖定位錯誤和路線操縱 | 部分 — 人類能察覺導航異常;自駕車未必能 |
| OTA 更新劫持 | 攔截或替換空中軟體更新,植入惡意程式碼 | 是 — 自駕車頻繁接收 OTA 更新;全車隊級別的入侵後果災難性 |
| 遠端指令注入 | 利用遠端監控、診斷或車隊管理 API 注入未授權指令 | 是 — 傳統車輛沒有等效的車隊管理基礎設施 |
| V2X 攻擊 | 利用車輛與基礎設施的通訊(交通燈、道路感測器)注入虛假環境資料 | 是 — V2X 基礎設施規模化部署後才出現的新攻擊面 |
| AI 模型投毒 | 汙染訓練資料或微調管道,改變部署模型的行為 | 是 — AI 驅動車輛特有;傳統汽車沒有對應的攻擊面 |
| 感測器實體干擾 | 雷射致盲攝影機或 LiDAR、雷達干擾、路面反射材料 | 部分 — 無人類駕駛介入時影響更為嚴重 |
| 供應鏈入侵 | 向第三方元件植入惡意程式碼 — 地圖、機器學習框架、感測器韌體 | 部分 — 汽車供應鏈攻擊早於自駕車存在,但規模效應不同 |
最關鍵的結構性差異在於「人在迴路中」的存在。傳統車輛有駕駛人,能察覺車輛的異常行為、感受路面狀況、聆聽異常聲音,並在法律和實際層面始終掌握控制權。無安全員的自駕車沒有這種後備機制。一次降低感測器感知能力或破壞導航資料的攻擊,可能在造成實體後果之前都無法被察覺。
第二節 — 已被研究記錄的攻擊類別
資安研究人員已就多個針對自駕車相關系統的攻擊類別發表概念驗證。以下僅從概念層面進行描述,不包含任何利用細節、工具或重現步驟。所有引用均來自同儕審查或會議發表的學術論文。
| 攻擊類別 | 已發表研究 | 已驗證的影響 |
|---|---|---|
| 對抗性貼片欺騙停車標誌 | Eykholt 等人(2018),密西根大學;Morgulis 等人(2019) | 在受控條件下,最先進的視覺模型持續將停車標誌誤分類為限速標誌 |
| LiDAR 欺騙 | Cao 等人(2019),密西根大學與多倫多大學 | 向 LiDAR 點雲注入虛假物體或從中移除真實物體,使自駕車感知棧看到不存在的障礙物或忽略真實障礙物 |
| 影響自駕車路線規劃的 GPS 欺騙 | 2017–2022 年多篇研究論文 | 自駕車導航系統被引導至攻擊者指定目的地,而非預設目的地 |
| OTA 韌體攻擊 | Miller 與 Valasek(2015),吉普大切諾基 — 自駕車前期,但向量示範意義重大 | 透過行動網路連接實現車輛轉向與剎車的遠端控制 |
| 物件偵測的對抗性輸入 | Carlini 與 Wagner(2017);Szegedy 等人(2014) | 人類肉眼不可見的擾動使深度學習分類器以高置信度發生錯誤分類 |
兩項重要說明:第一,這些均為受控學術示範,並非對商業自駕車隊已實施攻擊的描述。截至 2026 年中期(估),尚未有針對商業自駕車部署的真實世界攻擊被公開確認。第二,自駕車運營商了解這些研究,並已針對已發表的特定技術建立防禦 — 這也是公開研究披露通常被認為有益的原因。
第三節 — Tesla 與 Waymo 的安全架構比較
兩大主要自駕車部署平台的安全姿態存在實質差異,這些差異與其底層架構選擇密切相關。
| 維度 | Tesla | Waymo |
|---|---|---|
| OTA 更新安全 | 簽名韌體更新;透過 Bugcrowd 運行完善的公開漏洞懸賞計畫;透過行動網路和 Wi-Fi 更新消費者車隊 | Waymo 不以 Tesla 的頻率進行消費者規模的 OTA 更新;更新由車隊營運商管理,部署更為受控(估) |
| 網路分段 | Tesla 車輛有多個 ECU 域;安全控制旨在將安全關鍵系統與娛樂資訊和連接層隔離 | 專用車輛平台,無娛樂資訊層;更緊密的實體網路分段,非安全介面更少(估) |
| 遠端監控暴露面 | Tesla 應用程式提供即時車輛狀態和有限的遠端指令;帳戶入侵是潛在的車輛存取路徑 | Waymo 有車隊管理基礎設施,但消費者應用程式無法存取車輛指令;設計上攻擊面較窄(估) |
| 感測器冗餘作為防禦 | 以攝影機為主的感知系統 — 若攝影機系統被欺騙,沒有冗餘模態進行獨立交叉驗證 | LiDAR + 攝影機 + 雷達多模態融合 — 同時欺騙三種不同物理原理的傳感模態,難度遠高於欺騙任何單一模態 |
| AI 模型安全 | 端對端神經網路架構;對抗性魯棒性是活躍研究領域;模型更新透過 OTA 下發 | 模組化架構 — 每個感知與規劃層獨立監控;可對每個層應用異常偵測(估) |
| 漏洞懸賞計畫 | Tesla 透過 Bugcrowd 的公開懸賞計畫;Tesla 車輛曾參加 Pwn2Own 汽車競賽 | Waymo 有安全研究計畫,但面向公眾的程度低於 Tesla |
| 供應鏈 | Tesla 垂直整合關鍵元件(Dojo 訓練算力、FSD 晶片、電池);減少安全關鍵路徑中的第三方軟體元件 | 部分第三方平台依賴(Gen 6 採用極氪車輛底盤);增加了供應鏈驗證要求(估) |
感測器冗餘作為防禦手段值得特別說明。Tesla 攝影機唯一的哲學有其成本和擴展性優勢。但從安全角度看,單一模態感測器棧意味著對該模態的成功欺騙攻擊沒有交叉驗證。Waymo 的多模態棧提高了攻擊成本:攻擊者需要同時欺騙 LiDAR、雷達和攝影機 — 三種運作在不同波段的不同物理原理 — 才能向感知融合層注入被接受的虛假狀態。
第四節 — 規模化風險:重大事件的連鎖影響
自駕車產業的監管審批建立在累積安全里程和驗證可靠性的基礎上。一次確認的網路攻擊安全事件將直接衝擊這個基礎 — 不是技術本身,而是允許技術運作的信任。
重大資安事件後的可能發展序列:
-
立即停止運營。 涉事企業幾乎肯定會在數小時內主動停飛車隊,等待調查。針對複雜網路攻擊的調查可能需要數週至數月。
-
新許可的監管凍結。 NHTSA、加州 DMV 和其他監管機構可能在業界範圍安全審查完成前暫停發放新的無人駕駛運營許可。擴張計畫將停滯。
-
立法回應。 美國國會多次提出強制性自駕車資安標準,但截至 2026 年中期(估)均未通過。一次確認事件將提供這些提案目前所缺乏的立法動能。
-
類別層面的信任損害。 這是最嚴重的規模化風險。單一自駕車運營商的重大事件,不僅損害該公司,更損害整個類別的公眾認知。「自動駕駛汽車傷人」是標題,而非具體公司名稱和具體漏洞。類別層面的信任損害需要數年才能修復。
歷史類比:2018–2019 年波音 737 MAX 軟體安全事故讓一個完整機型停飛 20 個月,引發全球航空監管機構對軟體密集型飛機軟體認證流程的全面審查。自駕車產業目前尚無等效的成熟軟體認證框架 — 這意味著類似事件可能產生更嚴重、更持久的監管後果。
第五節 — 監管資安要求
| 法規 | 管轄範圍 | 要求 | 狀態 |
|---|---|---|---|
| UN R155(CSMS) | 歐盟及採用國 | 車輛型式認證需要資安管理系統;涵蓋 OTA 安全、供應鏈風險管理、事件偵測與回應 | 2022 年起生效;2024 年 7 月起對新車型強制適用 |
| UN R156(SUMS) | 歐盟及採用國 | 軟體更新管理系統;規範 OTA 更新安全與驗證流程 | 已生效;與 R155 配對作為統一框架 |
| NHTSA 資安最佳實踐 | 美國 | 涵蓋車輛架構、供應鏈、事件回應和資訊共享的自願性指引 | 2022 年更新;無聯邦強制要求 |
| SAE J3061 | 行業標準(全球) | 網路實體車輛系統資安指南;定義基於風險的開發流程 | 廣泛引用但非監管要求 |
美國的監管缺口是核心政策問題。與歐盟不同,美國沒有強制性汽車資安標準。自駕車運營商自我認證其安全姿態,自願遵循 NHTSA 最佳實踐。AV START 法案和 SELF DRIVE 法案均包含資安條款,但截至 2026 年中期(估)尚未通過國會。事實上,歐盟正透過市場准入要求在全球設立標準:任何有意擴張至歐洲市場的自駕車運營商都必須遵守 R155/R156。
自駕車資安的定義性事件尚未發生。正因如此,產業現在擁有建立防禦的最大窗口 — 在監管者或媒體標題迫使行動之前。Tesla 攝影機唯一架構與 Waymo 多模態棧的差異,不僅是感知品質的論述,也是縱深防禦的論述。隨著車隊從數千輛擴張至數十萬輛,每個聯網終端都是潛在入口,而成功的全車隊漏洞利用的價值也隨部署規模線性成長。安全投資必須比車隊成長更快。
資料來源:UN Regulation 155(CSMS)— UNECE(unece.org);NHTSA 現代車輛資安最佳實踐(nhtsa.gov);Eykholt 等人,“Robust Physical-World Attacks on Deep Learning Visual Classification”,arXiv:1707.08945(2018);Tesla Bug Bounty Program — Bugcrowd(bugcrowd.com/tesla)。所有標注(估)的數字均為基於公開披露、監管文件和已發表研究的估算,未經獨立核實,可能與原始資料有所差異。
來源
- UN Regulation 155 (Cybersecurity) — UNECE ↗
- NHTSA Cybersecurity Best Practices for Modern Vehicles — NHTSA ↗
- Adversarial examples in physical world — Eykholt et al. (2018) — arXiv ↗
- Tesla Bug Bounty Program — Bugcrowd ↗