2026-06-18 — views
Physical AI 資安 2026 — Waymo LIDAR 欺騙 vs Tesla FSD 對抗攻擊:自駕車安全基準報告
Waymo 多感測器融合抵抗 LIDAR 欺騙與對抗補丁。Tesla 純視覺 FSD 面臨不同攻擊面。OTA 安全對兩者皆關鍵。
Physical AI 基準系列第 210 篇 — 自駕車資安深度分析
消費性電子產品的網路安全是資料保護問題。自駕車的網路安全是安全問題。當攻擊者利用智慧音箱的漏洞,後果是隱私洩露。當攻擊者利用自駕車的漏洞,後果可能是一輛數噸重的機器在高速公路上緊急煞車、駛向錯誤目的地,或無視交通號誌。現代自駕車的攻擊面橫跨無線通訊、感測器硬體、定位系統、車輛控制網路、乘客應用程式及空中下載(OTA)軟體更新基礎設施——其多樣性在所有消費裝置類別中無出其右。
本文評測 Waymo 與 Tesla FSD 在 2026 年的自駕車資安現況:研究人員已驗證的攻擊類別、各公司架構如何影響其暴露程度、哪些法規框架已成強制要求,以及哪些結構性安全優勢無法在不更換硬體的情況下彌補。所有標記(估計值)的數字均為公司未公開正式揭露時的推估值。
第一節 — 自駕車攻擊面:為何網路安全是安全問題
網路安全問題與安全問題的區別,是自駕車資安框架中最重要的概念。在消費性物聯網中,成功的網路攻擊會危及資料或服務可用性。在自駕車中,成功的網路攻擊可以直接作用於物理世界——導致緊急煞車、轉向改變,或在載客高速行駛時喪失定位能力。這從根本上改變了威脅模型:攻擊者的目標不是資料外洩,而是物理後果。
自駕車攻擊面包含多個不同層次:
無線通訊 — 每輛現代自駕車都配備 LTE 或 5G 行動數據機,用於空中軟體更新、車隊監控及遠端操作。此數據機是車輛與網際網路的常時連線。與每天行駛一至兩小時的私人車輛不同,商業自駕車隊持續運作,將攻擊暴露時間延長了一個數量級。
感測器硬體 — LIDAR 感測器發射並接收雷射脈衝以建立 3D 點雲。相機系統擷取即時影像。雷達收發器量測速度與距離。每個感測器原則上都可被針對:LIDAR 接收器可接收外部雷射脈衝;相機可被對抗性視覺圖案欺騙;雷達可被干擾或欺騙。感測器層是傳統消費裝置所沒有的物理攻擊面。
定位系統 — GPS/GNSS 訊號極其微弱(估計接收功率 -130 dBm(估計值))。市售 GPS 干擾器廣泛存在,可在特定範圍內阻斷 GPS 訊號。在 GPS 被欺騙的環境中,自駕車的位置估算可能遭到破壞。各自駕車系統如何處理 GPS 降級——透過備援定位方式——是一項關鍵的安全架構決策。
車輛控制網路 — CAN 匯流排連接安全關鍵車輛系統(轉向、煞車、油門)與電子控制單元。最初設計時未考慮資安,CAN 匯流排已被經典汽車研究(2015 年 Miller 和 Valasek 的吉普車遠端駭客案例)證明可被利用。現代自駕車已做出架構改進,但若網路連線元件可橋接至 CAN,車內網路仍是一個重要攻擊面。
乘客介面 — 消費者行動應用程式(Waymo App、Tesla App)向數百萬使用者暴露 API 端點、OAuth 流程及帳戶管理介面。遭攻擊的行動應用程式或後端可能洩露車輛位置、行程歷史或帳戶存取權限。
遠端操作中心 — Waymo 商業車隊包含遠端操作能力:受訓操作員可監控行程並在車輛遇到新情境時介入。遭攻擊的遠端操作中心理論上可影響車隊行為。
空中軟體更新 — 自駕車攻擊面中最高價值的目標。成功的 OTA 漏洞攻擊會同時影響車隊中的每一輛車。Waymo 與 Tesla 均無線交付軟體更新;更新管道的安全性——從伺服器驗證到車輛端密碼簽名驗證——是最關鍵的單點故障。
自駕車資安與傳統汽車資安有著本質上的不同,原因在於三個因素的結合:(1)自駕車在公共場所無人監督運行,沒有人類可以推翻因資安問題引起的故障;(2)商業自駕車隊常時運作、常時連網,帶來持續的攻擊暴露;(3)自駕車決策的安全關鍵性質意味著成功的攻擊具有立即的物理後果,而非僅是資料後果。
第二節 — LIDAR 欺騙與感測器攻擊:研究人員已驗證的內容
| 攻擊類別 | 已驗證? | 方法 | Waymo 暴露程度 | Tesla FSD 暴露程度 | 緩解狀況 |
|---|---|---|---|---|---|
| LIDAR 欺騙(幽靈物體) | 是 — 研究已驗證(Duke/UCSB/Michigan 團隊):攻擊者使用雷射裝置向自駕車 LIDAR 感知注入虛假點雲資料,創造幽靈車輛或行人;已驗證導致自駕車對幽靈車輛緊急煞車 | 商業雷射二極體陣列對準 LIDAR 接收器;需要估計視線距離在 30-100 公尺內(估計值);欺騙點在點雲中顯示為實心物體;在 USENIX Security 和 IEEE S&P 等頂級資安會議上多次獨立驗證 | Waymo 使用 LIDAR 加相機加雷達多模態融合;攻擊者必須在所有三種模態中同時創造一致的虛假物體才能導致自駕車動作;相機和雷達中不存在的 LIDAR 幽靈可被過濾;HD 地圖一致性檢查提供額外異常偵測 | Tesla FSD 使用純視覺(無 LIDAR);上述定義的 LIDAR 欺騙不適用於 Tesla 純視覺架構;但 Tesla 相機系統面臨對抗補丁攻擊,而這類攻擊對基於 LIDAR 的系統影響不同 | Waymo 緩解:多模態融合使欺騙難度大幅提高但並非不可能;多模態差異異常偵測;LIDAR 接收器硬體修改以偵測欺騙脈衝時序;Tesla:LIDAR 欺騙不適用 |
| 相機對抗補丁 | 是 — 研究已驗證(UW/UCSB/Michigan):貼在路牌或路面的小型列印圖案導致神經網路相機系統分類錯誤;已驗證在受控環境中導致停止標誌分類錯誤和速限誤讀 | 針對神經網路分類器優化的特定高對比度圖案;可貼在實體表面(停止標誌、車道標線);不需要電子設備或接近車輛——路牌上的靜態貼紙可影響所有駛過的車輛 | Waymo 使用 LIDAR 加相機加雷達融合;帶有對抗補丁的停止標誌仍在 HD 地圖中的正確 3D 位置,且 LIDAR 仍可偵測到標誌形狀的物體;相機分類失敗可與 LIDAR 地圖位置交叉驗證;比純視覺系統更具彈性 | Tesla FSD 是純視覺的;針對相機分類器的對抗補丁是 Tesla 最直接的感測器層安全隱憂;Tesla 端對端神經網路可能具有一定的隱性穩健性,但對抗補丁是專門針對欺騙神經網路而優化的 | 多模態融合(Waymo 優勢);時間一致性檢查(中途改變外觀的路牌屬異常);車隊範圍異常偵測;神經網路開發期間的對抗訓練 |
| GPS 欺騙與干擾 | 是 — 已在民用場景中驗證:商業裝置的 GPS 干擾;GPS 欺騙已在無人機應用和軍事衝突地區附近驗證;GPS 訊號微弱(估計 -130 dBm(估計值)),使其易受干擾 | 市售 GPS 干擾器;GPS 欺騙需要訊號產生設備;訊號微弱使其容易受到干擾 | Waymo 主要定位:LIDAR 點雲與 HD 地圖匹配(非 GPS);GPS 為次要輸入;若 GPS 與 LIDAR 地圖匹配矛盾,以 LIDAR 地圖匹配為準;無法同時欺騙 LIDAR 地圖匹配的 GPS 欺騙攻擊對 Waymo 定位無效 | Tesla FSD 定位更依賴視覺地標(車道線、路牌、建築物外觀)進行位置估算;GPS 用於地圖匹配和路線規劃;視覺定位提供一定的 GPS 欺騙彈性,但依賴視覺地標品質 | LIDAR 地圖匹配(Waymo)和視覺慣性定位(Tesla)提供備援定位;多星座多頻率 GPS 天線設計改善欺騙偵測;IMU 在 GPS 失效時提供短期推算導航 |
| OTA 軟體更新攻擊 | 否 — 生產自駕車隊上無公開驗證案例;理論上高價值攻擊向量;在非汽車物聯網上已驗證類似攻擊;Tesla 和 Waymo OTA 基礎設施均使用密碼簽名 | 攻陷 OTA 更新伺服器或攔截分發渠道;向車輛推送惡意韌體;單次攻陷同時影響整個車隊 | Waymo 估計 2,500 輛商業車輛(估計值);安全關鍵駕駛系統與網路連線更新系統氣隙隔離,限制 OTA 攻擊的爆炸半徑 | Tesla 估計超過 600 萬輛消費者 FSD 車輛(估計值),代表汽車業中最大的 OTA 攻擊面;Tesla 擁有逾 10 年的 OTA 安全強化經驗;HSM 金鑰管理 | 兩家公司均使用密碼代碼簽名;硬體安全模組保護簽名金鑰;在應用任何更新前進行車端簽名驗證;攻擊需要攻陷簽名基礎設施或金鑰儲存 |
| CAN 匯流排與車內網路 | 是 — 經典汽車研究(Miller/Valasek 2015 年吉普車遠端駭客);現代自駕車已改進 CAN 安全性 | 物理 OBD 埠存取或透過已攻陷的網路連線元件橋接至 CAN;需要物理存取或預先攻陷網路元件 | Waymo 商業車隊:物理攻擊需要存取商業車輛;車隊管理控制車輛存取;網路系統與安全關鍵 CAN 系統之間的氣隙限制遠端至 CAN 的攻擊路徑 | Tesla 消費車輛:物理 OBD 存取對車主開放;Tesla 已實施區域化 CAN 架構,分隔安全關鍵與娛樂資訊網路;但數百萬輛車在私人手中創造了比 Waymo 受控商業車隊更多樣化的物理存取情境 | 現代自駕車架構透過硬體分離、防火牆和密碼存取控制將安全關鍵系統與網路連線系統隔離 |
第三節 — 自駕車資安法規與標準概況
| 標準/法規 | 司法管轄區 | 主要要求 | 自駕車適用性 | 狀態 |
|---|---|---|---|---|
| UNECE WP.29 網路安全 | 歐盟、日本、韓國(強制);全球事實標準 | 要求網路安全管理系統(CSMS)認證;涵蓋車輛生命週期(設計、生產、售後);製造商必須在車輛生命週期內維護並更新 CSMS | 直接適用於 Waymo 和 Tesla 在歐盟、日本、韓國市場的車輛;強制要求對所有車輛系統進行威脅分析與風險評估(TARA);強制要求事件監控與應對 | 2022 年 7 月起在歐盟、日本、韓國新型式認證強制執行;最嚴格且全球採用最廣泛的自駕車資安標準 |
| ISO/SAE 21434 | 全球標準(非強制) | 汽車資安工程標準;TARA 方法論;安全設計生命週期;售後資安管理 | UNECE WP.29 合規所參考的技術工程標準;定義如何建立汽車資安流程;LIDAR 欺騙、OTA 攻擊和感測器對抗攻擊的 TARA 均在此框架下涵蓋 | 2021 年 8 月發布;被汽車供應商廣泛採用為基準;向 Waymo、Tesla、Aurora 提供感測器的一級供應商必須符合 ISO/SAE 21434 |
| NHTSA 網路安全最佳實踐 | 美國(自願指南,2022 年) | 機動車輛資安自願最佳實踐;涵蓋存取控制、威脅監控、事件應對、OTA 更新和網路分段 | 針對美國銷售車輛的自願性指南;NHTSA 已推動強制規則但尚未頒布強制汽車資安法規 | 截至 2026 年為自願性;NHTSA Moving Forward 監管議程包含擬議中的強制 CSMS 規則;美國在強制自駕車資安法規方面落後於歐盟 |
| 中國 GB/T 38628 | 中國(聯網車輛強制) | 聯網汽車網路安全管理系統標準;與 UNECE WP.29 範圍類似 | 適用於中國銷售的所有聯網車輛;對 Tesla 上海製造基地特別重要;中國標準強調資料在地化——在中國收集的自駕車資料必須留在中國 | 在中國強制執行;由工信部負責;資料主權要求增加了擁有全球資料管道的外國自駕車企業的複雜性 |
| SAE J3061 | 美國/全球(自願) | 網路物理車輛系統資安指南;汽車資安工程流程框架 | ISO/SAE 21434 的前身;業界廣泛引用;與自駕車資安設計流程相關 | 2016 年發布;對於較新的計畫,部分已被 ISO/SAE 21434 取代;現有計畫中仍引用 |
| 歐盟 NIS2 指令 | 歐盟(強制) | 關鍵基礎設施的網路和資訊安全要求;交通運輸部門包含在內 | 聯網車輛基礎設施(車隊管理伺服器、OTA 更新基礎設施、遠端操作中心)可能屬於 NIS2 關鍵基礎設施要求範圍 | 2024 年 10 月前轉置為歐盟成員國法律;在歐盟的自駕車隊運營商必須遵守 NIS2 事件報告要求 |
第四節 — 安全架構比較:Waymo vs Tesla FSD
| 安全維度 | Waymo | Tesla FSD | 優勢 | 關鍵不確定性 |
|---|---|---|---|---|
| 感測器對抗攻擊的冗餘性 | 多模態融合(LIDAR 加相機加雷達加 HD 地圖):攻擊者必須同時欺騙多個獨立感測器;這是 Waymo 最大的結構性資安優勢 | 純視覺:對相機系統的成功對抗攻擊沒有獨立的 LIDAR 或雷達驗證來捕捉錯誤;冗餘是時間性(多幀相機)和幾何性(多角度相機)的,而非模態性的 | Waymo:多模態感測器冗餘是結構性安全優勢,在不更換硬體的情況下純視覺系統無法比擬 | Waymo 多模態融合是否在實際生產環境中真的能捕捉對抗補丁攻擊?學術研究是受控環境;現實世界對抗補丁的耐久性(天氣、光線、物理磨損)影響攻擊有效性 |
| 車隊攻擊面 | 估計 2,500 輛商業車輛(估計值);受控商業部署;車隊管理控制車輛物理存取;較小的總體網路面 | 估計超過 600 萬輛消費者 FSD 車輛(估計值);私人所有意味著多樣且較不受控的物理存取;汽車業中最大的 OTA 攻擊面 | Tesla:FSD 規模創造了安全複雜性,但也帶來了安全投資資源;Tesla 逾 10 年的消費者 OTA 安全強化經驗是有意義的運營經驗 | Tesla 的規模意味著成功的車隊級攻擊影響範圍比可比較的 Waymo 攻擊大約 2,400 倍(估計值);這一不對稱性可能是最重要的安全風險比較 |
| OTA 更新安全 | 安全關鍵系統氣隙(駕駛系統與網路連線更新系統隔離);密碼代碼簽名;較小車隊使異常偵測更快 | HSM 金鑰管理;密碼代碼簽名;車隊範圍分階段 OTA 推送(先推送小比例車隊,監控後再擴展);逾 10 年消費者 OTA 安全強化 | 相當(兩家公司均有強大的 OTA 安全計畫);Tesla 擁有更多年的實際 OTA 強化;Waymo 對安全關鍵系統的氣隙提供爆炸半徑限制 | 氣隙架構是理想設計;問題是 Waymo 的實施是否完全實現,或者是否存在橋接元件 |
| 漏洞獎勵計畫 | Waymo 設有安全漏洞披露計畫;範圍包括車輛系統、雲端基礎設施和行動應用程式 | Tesla 漏洞獎勵計畫自 2014 年起;汽車業最長期運行的漏洞獎勵計畫之一;已支付大量獎勵;安全研究社群對 Tesla 系統熟悉 | Tesla:逾 10 年計畫歷史意味著更多研究人員研究了 Tesla 安全,更多漏洞已被發現和修復;Waymo 計畫較新,研究社群規模較小 | 漏洞獎勵計畫的有效性取決於研究社群規模和獎勵水準;較大的計畫隨時間發現並修復更多漏洞 |
| 法規合規狀況 | UNECE WP.29 適用於目標擴展市場;遵循美國 NHTSA 自願指南;ISO/SAE 21434 工程標準 | UNECE WP.29 適用於 Tesla 銷售車輛的歐盟、日本、韓國市場;美國 NHTSA 自願性;中國 GB/T 38628 對上海運營至關重要 | 相當(兩家公司均受相同強制標準約束);Tesla 更大的中國製造基地使中國 GB/T 38628 在運營上更為重要 | 若 NHTSA 強制 CSMS 規則獲頒布,將是對兩家公司影響最大的美國監管變化 |
第五節 — Physical AI 資安基準計分卡
| 安全維度 | Waymo | Tesla | Aurora(自駕卡車) | 2028 年展望 |
|---|---|---|---|---|
| 感測器攻擊彈性 | 高:多模態融合(LIDAR 加相機加雷達加 HD 地圖)要求攻擊者欺騙多個獨立模態;感測器層攻擊的結構性優勢 | 中:純視覺創造潛在對抗補丁漏洞;由時間和幾何冗餘補償,但非模態冗餘 | 高:Aurora Driver 使用類似 Waymo 的 LIDAR 加相機加雷達融合;僅限高速公路的運營設計域降低了對都市對抗補丁情境的暴露 | 只要 Tesla FSD 保持純視覺,Waymo 和 Aurora 的結構性感測器安全優勢就持續存在;若 Tesla 增加雷達冗餘,差距縮小 |
| 車隊層級攻擊面 | 低(受控):估計 2,500 輛商業車輛(估計值);受控物理存取;較小雲端面 | 高:估計超過 600 萬輛消費車輛(估計值);多樣私人所有;全球汽車業最大 OTA 面;由逾 10 年安全強化補償 | 低(受控):商業卡車車隊;受控停車場存取;規模小於 Waymo | Tesla 的規模持續帶來車隊層級安全複雜性;Waymo 和 Aurora 較小的商業車隊本質上更易管理 |
| OTA 更新安全 | 高:安全關鍵氣隙加密碼簽名;較小車隊使異常偵測更快 | 高:逾 10 年消費者強化;HSM;分階段推送;但數百萬輛車延長了每個更新週期的暴露窗口 | 高:商業車隊,受控更新部署 | Waymo 和 Tesla 均有成熟的 OTA 安全體系;Tesla 額外的消費者強化年數是有意義的能力優勢,儘管其攻擊面更大 |
| 法規合規態勢 | 高:UNECE WP.29 在目標擴展市場強制執行;積極合規計畫 | 高:UNECE WP.29 在歐盟、日本、韓國現有市場強制執行;中國 GB/T 38628 積極執行 | 中高:卡車特定監管環境;類似強制標準適用 | 全球強制標準(UNECE WP.29、中國 GB/T 38628)將成為在這些市場運營的所有自駕車企業的基準 |
| 總體評估 | 2026 年的自駕車資安領域,Waymo 擁有結構性感測器層優勢(多模態融合使感測器欺騙比純視覺系統難度大幅提高),但 Tesla 擁有更深厚的安全文化優勢(逾 10 年的消費者 OTA 安全強化、最長期運行的汽車漏洞獎勵計畫,以及規模龐大的內部安全團隊)。最重要的未解決風險是規模:對 Tesla 估計逾 600 萬輛車(估計值)的成功車隊層級攻擊,影響範圍將約為可比較的 Waymo 估計 2,500 輛車隊攻擊的 2,400 倍(估計值)。最重要的結構性安全優勢是 Waymo 的多模態感測器融合——相機對抗補丁和 LIDAR 欺騙無法同時欺騙 LIDAR、相機、雷達和 HD 地圖。在 Tesla FSD 增加硬體模態冗餘(雷達或其他非相機感測器)之前,這一結構性差距持續存在。 |
資料來源:UNECE WP.29 網路安全法規(unece.org);ISO/SAE 21434 汽車資安工程(iso.org);NHTSA 現代車輛資安最佳實踐(nhtsa.gov);Tesla 漏洞獎勵計畫(tesla.com/support/security)。學術研究參考:USENIX Security、IEEE S&P 汽車資安與對抗機器學習會議論文集。所有標記(估計值)的數字均為基於公開揭露、監管申請和第三方報導的估算值;未經獨立核實,可能與公司內部資料有所不同。
來源
- UNECE WP.29 網路安全法規 — UNECE ↗
- ISO/SAE 21434 汽車網路安全工程 — ISO ↗
- NHTSA 現代車輛網路安全最佳實踐 — NHTSA ↗
- Tesla 漏洞獎勵計畫 — Tesla 安全 ↗