2026-06-18 — views
實體AI資安 — 自駕車攻擊面、感測器欺騙與全車隊風險
針對自駕車的網路攻擊是實體安全事件——感測器欺騙、OTA管線漏洞與HD地圖注入,作為實體AI安全基準維度的系統性分析。
實體AI基準系列第115篇 — 實體AI資安:自駕車攻擊面、感測器欺騙、OTA管線安全,以及為何針對自駕車隊的網路攻擊是實體安全事件
自駕車是在實體空間中運行的聯網電腦。與遭入侵的企業伺服器不同——後者的後果是資料遺失、勒索付款或服務中斷——對自駕車的成功網路攻擊可能直接導致車輛在公共道路上失控。後果類別根本不同:不是資料洩露,而是一輛多噸重的機器在公共環境中高速行駛時發生的實體安全事件。這一區別使自駕車資安不僅僅是IT治理問題,更是對任何實體AI系統進行嚴肅評估的核心基準維度。
自駕車的攻擊面異常廣泛。自駕車同時是車輛(擁有控制煞車、方向盤和加速的實體致動器)、感測器組合(光達、攝影機、雷達、GPS、超聲波)、聯網電腦(具有用於OTA更新和遠端操作的行動網路連線)、雲端服務客戶端(HD地圖、遠端協助,可能還有雲端推理)以及車隊成員(與數百或數千輛相同車輛共享軟體)。每一層都引入了在傳統汽車或傳統IT環境中不存在的潛在攻擊向量。
本文將自駕車資安作為結構化基準維度進行分析。第一節列出攻擊面及其難度和影響評估。第二節回顧已知的演示研究攻擊。第三節比較Tesla和Waymo在關鍵維度上的安全架構。第四節確立資安在實體AI基準框架中的地位。所有安全漏洞資訊均來自已發表的學術研究和負責任披露成果;標記「(估計)」的數字源自可用資訊。
第一節 — 自駕車攻擊面圖譜
| 攻擊面 | 內容 | 潛在影響 | 攻擊者難度 |
|---|---|---|---|
| OTA軟體更新管線 | 對車輛韌體和自駕軟體棧的無線更新;若簽署基礎設施遭到入侵,攻擊者可同時向整個車隊推送惡意程式碼 | 全車隊車輛控制被入侵;最壞情況:所有車輛同步發生物理事件 | 高——需要入侵製造商簽署基礎設施;一旦成功影響災難性 |
| 光達欺騙 | 透過投射雷射脈衝注入虛假點雲資料,光達單元將其解讀為真實障礙物;可製造幽靈障礙物或遮蔽真實物體 | 車輛為幽靈障礙物緊急煞車;或未能偵測被欺騙資料遮蔽的真實行人 | 中——需要實體接近(估計10–50米);已在學術研究中演示 |
| 攝影機對抗攻擊 | 對抗性貼片(印有特定視覺圖案的貼紙或路面圖案)使基於攝影機的神經網路將物體錯誤分類 | 停止標誌被讀取為速限標誌;行人被分類為背景 | 中——需要實體放置貼片;已在研究中演示 |
| GPS/GNSS欺騙 | 廣播虛假GPS訊號覆蓋車輛位置估計 | 車輛導航至錯誤位置;HD地圖相關性中斷 | 中——需要SDR硬體;已在研究中演示 |
| HD地圖注入 | 入侵HD地圖更新管線以插入虛假道路幾何、車道標線或交通要素 | 車輛遵循虛假地圖進入危險區域 | 高——需要進入地圖分發基礎設施;Waymo的地圖依賴架構比純視覺方案更易受攻擊 |
| 遠端協助通道 | 對遠端操作員與車輛之間通訊鏈路的中間人攻擊 | 操作員在緊急情況下失去車輛控制;或攻擊者發送虛假指令 | 高——需要入侵加密通訊;成功攻擊可能使車輛擱置或偏離路線 |
| 雲端推理API | 若推理在雲端而非車載執行,遭入侵的端點可能影響駕駛決策 | 基於被篡改資料做出決策;時序攻擊在關鍵時刻延遲響應 | 架構依賴——Tesla和Waymo似乎在車載執行推理(估計) |
| CAN匯流排/內部網路 | 攻擊者若獲得車輛內部網路的實體或無線訪問,可向煞車、方向盤、加速注入指令 | 直接控制車輛 | 無線方式極難;需要實體訪問;2015年吉普Cherokee實驗已演示 |
第二節 — 已知演示研究攻擊
| 攻擊 | 演示者 | 目標 | 方法 | 結果 |
|---|---|---|---|---|
| 光達欺騙 | UC Irvine、杜克大學等學術研究團隊(估計2019–2022年) | 通用自駕光達單元 | 自製雷射脈衝注入器(估計約50美元硬體) | 製造幽靈物體;導致自駕測試平台緊急煞車 |
| 攝影機對抗貼片 | 多個學術團隊(卡內基梅隆、MIT等) | 停止標誌識別系統 | 在停止標誌上貼附對抗性圖案貼紙 | 在控制實驗中停止標誌以高機率被誤分類為速限標誌 |
| Tesla FSD對抗 | Tencent Keen Security Lab(2019年、2022年) | Tesla Autopilot攝影機系統 | 用膠帶更改車道標線;在路面貼附對抗性貼片 | 在測試條件下車輛轉向對向車道;速限標誌被誤讀 |
| GPS欺騙 | 多個研究團隊;已在自主船隻和無人機上演示 | GPS依賴導航系統 | 軟體定義無線電(SDR)廣播虛假GPS訊號 | 車輛和無人機導航至虛假位置 |
| CAN匯流排攻擊(吉普黑客) | Miller和Valasek(2015年)——已披露 | 2014年Jeep Cherokee | 透過Uconnect行動網路數據機遠端利用漏洞,進而注入CAN匯流排 | 在高速行駛時遠端控制方向盤、煞車、加速 |
| 注意 | 上述所有攻擊均為研究/負責任披露情境 | — | — | 截至2026年中,無確認的惡意自駕車網路攻擊造成實體傷害(估計) |
第三節 — Tesla與Waymo安全架構對比
| 安全維度 | Tesla | Waymo |
|---|---|---|
| OTA更新簽署 | 所有軟體更新均採用密碼學代碼簽署;驗證開機鏈;車內硬體安全模組(HSM)(估計) | 相同方法;適用Alphabet級別安全標準(估計) |
| HD地圖攻擊面 | Tesla的純視覺方案完全消除了HD地圖攻擊面——不存在地圖更新管線可供入侵 | Waymo的HD地圖依賴創造了額外攻擊面;地圖完整性必須持續驗證 |
| 推理位置 | 完全車載——HW4在本地執行所有推理;駕駛決策無雲端API依賴(估計) | 主要車載(估計);遠端協助通道保留用於人工監督 |
| 行動網路連線 | Tesla車輛有LTE/5G用於OTA、遠端監控和哨兵模式;行動介面是攻擊面 | Waymo車輛有行動網路用於遠端協助和車隊運營;攻擊面存在 |
| 漏洞獎勵計畫 | Tesla有公開漏洞獎勵計畫(估計);已向研究人員支付車輛漏洞披露獎勵 | Alphabet/Waymo有安全研究計畫(估計) |
| 架構安全優勢 | 純視覺架構消除HD地圖作為攻擊向量;視覺推理僅在車載執行 | 地圖依賴架構需要持續的地圖管線安全;優勢在於Alphabet安全標準下的縱深防禦 |
第四節 — 為何自駕車資安是基準維度
| 影響 | 詳情 |
|---|---|
| 實體後果 | 成功的自駕車攻擊不是資料洩露——而是公共空間中的潛在車輛控制事件;後果嚴重性從根本上高於大多數網路攻擊 |
| 全車隊相關風險 | 遭入侵的OTA管線同時影響每輛車;與人類駕駛員(各自獨立)不同,數千輛相同自駕軟體棧的車隊具有完全相關的網路風險 |
| 監管要求 | NHTSA有現代車輛網路安全最佳實踐指南;歐盟UNECE WP.29 R155法規從2024年7月起對所有新車型強制要求認證的網路安全管理系統(CSMS) |
| 歐盟R155市場准入 | 2022年7月後批准的所有新車型(2024年7月起強制適用所有新車)必須具備認證CSMS——適用於Tesla及任何未來Waymo歐盟業務 |
| 保險影響 | 自駕車網路事件可能影響商業車隊保險;網路責任保障是獨立於車輛責任的額外保單層(估計) |
| 中國V2X基礎設施風險 | 使用政府部署V2X基礎設施的中國自駕車必須信任該基礎設施;遭入侵的城市V2X系統可能同時影響多家自駕車公司 |
| 競爭護城河 | 具備最強安全架構的公司可以進入更高安全要求的環境(政府走廊、機場交通區、醫院園區);安全認證是前提條件 |
全車隊相關風險維度值得重點強調,因為它在車輛安全歷史中沒有先例。當人類駕駛員犯錯時,後果是有界的。當自駕軟體棧存在缺陷——無論是開發中引入的軟體漏洞,還是惡意攻擊者利用更新管線——該缺陷可以同時在運行該軟體的車隊中每輛車上顯現。自駕車網路風險的相關性結構根本不同於人類駕駛員風險。
第五節 — 防禦架構基準目標
| 防禦維度 | 當前狀態(估計) | 基準目標 | 優先級 |
|---|---|---|---|
| OTA管線安全 | 密碼學簽署已部署(估計);車內HSM(估計) | 硬體信任根+獨立CA+強制輪換計畫 | 關鍵 |
| 感測器欺騙防禦 | 感測器融合提供部分保護;無正式欺騙偵測層 | 跨模態異常偵測,標記與欺騙模式一致的光達-攝影機不一致 | 高 |
| HD地圖完整性 | 已簽署更新(估計);部分車載一致性檢查 | 完整密碼學驗證+即時感測器一致性交叉驗證 | 高(Waymo特定) |
| CAN匯流排隔離 | 2015年後已改善;並非統一認證 | 連線棧與車輛控制網路之間的硬體防火牆 | 高 |
| 欺騙事件報告 | 美國自願性;歐盟R155強制要求 | 強制向安全監管機構報告自駕車網路事件 | 監管缺口 |
注意: 所有標記「(估計)」的數字均源自截至2026年中的公開資訊、已披露研究成果和工程估算。Tesla和Waymo的安全架構細節未完全公開披露;估計值基於可用資訊,應視為方向性資料。所有提及的攻擊演示均來自已發表學術研究或負責任披露情境。本文不構成安全建議。
來源
- NHTSA 現代車輛網路安全最佳實踐 — NHTSA ↗
- UNECE WP.29 網路安全法規 R155 — UNECE ↗
- Tencent Keen Security Lab Tesla研究 — Keen Security Lab ↗
- 光達欺騙研究 — IEEE S&P / 學術 ↗
- Tesla漏洞獎勵計畫 — Tesla ↗