全球车用安全厂商VicOne发布《换文件加速－VicOne 2025年汽车网络安全报告》，揭示全球汽车产业在安全方面的严峻警讯。2024年汽车漏洞数量达到历史新高，电动汽车充电、操作系统及车队管理等领域的新挑战也随之浮现；而虽然人工智能增强了车内功能与运营效率，但同时引入了新的安全漏洞，如：Prompt Injection与受损的训练数据，这些挑战了传统的安全防护方法。

汽车网络攻击总损失连年攀升，反映出汽车产业对网络犯罪分子的吸引力日益增强。

从软件定义车辆及AI赋能的推进、电动汽车充电环境的不断变化，再到车载系统漏洞的激增，显示出汽车产业正加速进入未知的领域。2024年共记录了215起汽车网络安全事件，显示这一年安全威胁持续存在。云计算与后端系统的漏洞成为最常见的攻击矢量，通常涉及勒索软件攻击、数据外流及社交工程或网络钓鱼攻击。车辆劫持、供应链漏洞、无钥匙进入技术的攻击，以及车辆电子虚拟化攻击，主要影响车载系统与OTA（无线更新）漏洞。

2024年汽车网络安全事件中，“全球性”事件占比达21.4%，凸显汽车产业的互联性，漏洞和网络攻击可能造成跨越国界的广泛影响。

供应链攻击变得更加复杂且破坏力更强。去年，犯罪分子明显将供应商与第三方零部件供应商作为攻击目标，因为它们是集成紧密的产业中最脆弱的环节。

对地下黑市消息交换的分析显示，针对汽车及整个产业的多层次、大规模攻击变得越来越可能发生。当前的手动汽车改装黑客攻击，正逐步转向更具破坏性且大规模的攻击，例如：用户冒充与账户窃取。

汽车漏洞数量大幅攀升，并于2024年达到历史新高，数量将近2021年的两倍。

2024年发布的汽车相关漏洞（CVE）总数达到530个，再创新高，数量将近2021年的两倍。漏洞的大幅增加凸显汽车攻击面与系统复杂性的快速扩张。漏洞类型从芯片相关问题转向涉及车载资讯娱乐系统（IVI）、操作系统以及电动汽车充电基础设施的CVE。

人工智能的广泛应用虽带来前所未有的机遇，但也为汽车制造商带来了全新的运营、财务与战略风险。美国运输部于2024年9月发布的白皮书《理解AI在交通领域的风险》指出，“AI系统可能在其生命周期内遭遇滥用与误用，原因包括过度或不足利用、超出运行范围的操作，甚至恶意行为。人类可能是这些漏洞的来源，也可能根据其在系统中的角色而协助防范风险。”

大型语言模型作为生成式AI的基础，因依赖企业关键数据、自主学习难以控制且易出错，成为网络犯罪分子的首要攻击目标。不安全的插件设计、不当的输出处理以及对抗性攻击，都是AI运用中需解决的主要运营风险。此外，治理结构的剧变的战略风险及责任归属、风险管理与品牌形象等财务风险也逐渐浮现。

#汽车# #网络安全# #电动汽车# #漏洞#