文

《财经国家周刊》记者王慧有没有想过，这是一个什么样的恐怖场景？有一天，你坐上智能汽车，打开自动驾驶，正准备找个舒服的姿势躺下，听个音乐的时候，突然发现自己失去了对车辆的控制，音响喇叭里传出一个陌生的声音，威胁你给他转一笔钱，否则就把你的车撞树上去。

谁在操控你的智能汽车？

这并非耸人听闻，智能汽车的安全威胁，离我们并不遥远。

▲图/图虫创意?

3月20日，特斯拉首席执行官埃隆·马斯克（ElonMusk）在参加中国发展高层论坛会议时，提到关于特斯拉被监控一事。他表示，特斯拉公司将不会向美国政府提供其车辆在中国或其他国家收集的数据。

事件的由头是，3月初，一群黑客称他们成功入侵硅谷监控初创公司Verkada收集的海量监控数据，可以看到15万个监控的实时录像，其中一个视频来自特斯拉上海工厂内部，这些黑客称，他们可以获取特斯拉工厂及仓库共计部监控拍到的影像。

3月10日，针对特斯拉上海超级工厂监控被入侵一事，特斯拉方面回应称：目前公司已经停止了这些摄像头的联网，并且已经在供应商现场采取措施进行停止摄像头工作，并进一步提升各环节的安全把控。

马斯克也多次强调特斯拉滥用数据的非必要性，称如果特斯拉进行间谍行动将会带来巨大的负面影响，后果也十分严重。不过，对于特斯拉以及智能汽车的信息安全威胁，行业内外仍然存在很大争议。

今年全国两会期间，创始人、董事长兼CEO周鸿祎提出：“预计到年，智能网联汽车可占年度汽车销量的50%，智能汽车已陆续出现远程控制、数据窃取、信息欺骗等安全问题，建议国家加大鼓励和引导企业，将智能汽车的联网安全防护体系纳入车辆生产、销售和服务体系中，并逐步形成强制性要求。”

特斯拉是智能汽车的技术创新代表，在信息安全方向布局较早，工厂监控和车辆尚且还有被入侵被控制的风险。那么，未来随着网络化程度越来越高，智能汽车的信息安全问题又当如何解决？

最快18秒，你的车就被别人开走了

黑客盗取工厂录像和技术人员发现的特斯拉汽车信息安全问题并非孤例。

年和年，在国际信息安全会议上，公司的工程师曾和外部技术人员合作挖掘出多项安全漏洞，演示如何通过干扰传感器和通信模块，“黑”掉一辆特斯拉。

年，国外也有黑客入侵了特斯拉ModelS的车载系统，导致车辆在行驶过程中突然熄火；年，来自公司和腾讯公司的安全技术人员分别展示了如何“无钥匙”远程进入特斯拉的车载系统和电网系统。

年，全球更是发生多起特斯拉App宕机事件，致使手机无法与车辆进行链接，车主处于“盲开”状态，甚至有些车主被锁在车中。

▲年，浙江大学与汽车信息安全实验室进行了一项课题研究，图为团队演示如何通过设备干扰特斯拉的毫米波雷达，让系统得到错误的距离判断。图/研究报告

当然，问题也不只是发生在特斯拉上，其他众多品牌汽车的电子信息系统，同样出过事。

公开报道显示，年，两名白帽黑客远程入侵了一辆行驶中的切诺基，对其做出减速、关闭引擎、制动失灵等操作。此举导致克莱斯勒紧急召回了万辆切诺基。

年，日产汽车宣布关闭其专为Leaf系列开发的应用程序NissanConnectedEV，因为他们发现，黑客可以侵入汽车系统，控制电池操作等功能，以耗尽电池。

年10月，奔驰也被曝出两个CVE漏洞，攻击者可利用漏洞，使车机无法正常工作。

年，欧洲ADAC汽车协会曾对33个品牌的款车型进行了一项安全测试，结果显示99%的车辆能够被黑客解锁并开走，最短耗时仅需18秒。

年，我国国家市场监管总局缺陷产品管理中心联合相关机构，针对多款智能网联汽车进行信息安全测试，结果发现高达63%的网联车辆存在一定程度的安全隐患。

类似的安全威胁正随着技术和产业的发展日益凸显。

首先是面临安全威胁的智能汽车基数已经愈发庞大。以我国的数据为例，我国智能汽车产业正呈现井喷式增长，预计到年，智能汽车占比将达到当年汽车销量的50%。

其次，智能汽车正逐步从封闭网络向开放网络升级，过去只在电脑、手机等智能终端出现的远程控制、数据窃取、信息欺骗等安全问题，已经蔓延到智能汽车上，严重威胁到人身安全和公共安全。

根据汽车网络安全公司UpstreamSecurity统计，公开报道的智能汽车网络安全攻击事件，从年的80起，激增到年的起。

而年，包括整车企业以及车联网信息服务提供商在内的智能汽车相关企业和平台遭遇的恶意攻击，总数已达到余万次。

一位接受记者采访的信息安全产业专家说，未来，如果数十万辆汽车因为使用同一个应用或者同一个服务器，或者因为黑客攻击一个漏洞而同时瘫痪，其灾难程度不亚于一次“9·11”事件。

防线“千疮百孔”，网络攻击的又一个活靶子

人工智能、大数据、物联网等新技术的诞生和广泛应用，为汽车产业带来颠覆性变革，巨大的不确定性和无处不在的网络安全隐患，又将这一产业推至悬崖边。

近两年，汽车网络安全攻击方式日趋多样化，除了传统的攻击手法，还出现了利用超声波的“海豚音”攻击、利用照片以及马路标识线的AI攻击等手段，且攻击路线也变得越来越复杂。

中国汽车信息安全共享分析中心发布的信息显示，汽车信息安全涉及范围较广，主要有十大信息安全风险，包括不安全的云端接口、未经授权的访问、系统存在的后门、不安全的车载通信、车载网络未做安全隔离、系统固件可被提取及逆向、不安全的第三方组件、敏感信息泄露、不安全的加密和不安全的配置。

根据以上风险，黑客可利用汽车电子系统的漏洞，如蓝牙、云端、网络通信等在功能安全、软件、信息传输、娱乐系统多方面展开攻击。

华为智能汽车解决方案BU、标准总监高永强表示：“从风险类型来看，我们认为当下智能汽车面临的网络安全威胁主要有七类，分别是手机App和云端服务器漏洞，不安全的外部连接，远程通信接口漏洞，不法分子反向攻击服务器以获取数据，车载网络指令被篡改，车载部件系统因固件刷写、提取、植入病毒等被破坏。”

汽车之所以会成为继智能手机后网络攻击的又一个活靶子，一个关键的原因在于，随着汽车产业向“新四化”方向转型，车内大幅度地增加诸多车载终端应用，由此导致更多的信息安全接入点和风险点被暴露出来。

以车载软件为例，一组数据很直观地告诉了我们汽车网络安全存在的风险如何触目惊心。

卡耐基梅隆大学软件工程学院的一份报告指出，在美国开发的代码平均每个功能点会有0.75个缺陷，每百万行代码就会有大约个缺陷或漏洞，而代码要达到“很好”这一级别，每百万行代码的缺陷或漏洞数量应控制在个至个之内，如果达到“优异”级别，每百万行代码的缺陷或漏洞数量就要控制在个以内。

换句话说，即使所有代码都达到了“很好”这一级别，按照目前汽车平均拥有一亿行代码来计算，每辆智能汽车就可能存在10万个缺陷或漏洞。而这些缺陷以及漏洞会造成什么样的风险，没有人可以预测。

除了防线“千疮百孔”，不容忽视的是，汽车行业在信息安全方面的防护基础和防御力量，整体也较为薄弱。

中国信息通信研究院副院长余晓晖公开表示，仅在汽车端，就有三类问题较为突出：首先，受限于成本、技术成熟度等因素，目前车内防护仍以软件措施为主，身份认证、加密隔离等应用不足；其次，对关键零部件、整车系统级软硬件的风险评估能力不足；最后，网络安全测试评价基础薄弱，在车内部件、整车等方面测试验证能力不足，整车渗透还主要依赖于人工实施，渗透深度和水平缺乏可量化评估标准。

是威胁，也是上万亿元的市场空间

加强智能汽车的安全防护，一方面是安全需要，硬币的另一面，新产品、新业态、新模式不断涌现，以智能网联汽车为载体的产业多样化服务，也伴随着大量信息资产的产生而出现。

比如目前，随着L2级辅助驾驶功能的大规模实现，各大整车企业已将目光瞄准了L3、L4级自动驾驶的产业化。

年4月，长城汽车成立数字化中心，并在7月发布整车智能化品牌“咖啡智能”，涵盖智能座舱、智能驾驶、智能电子电器架构。

值得一提的是，长城汽车并非首个“吃螃蟹”的自主品牌。

早在年，上汽就同阿里发布了“全球首款的量产互联网汽车”荣威RX5。年，上汽又与上港、中国移动正式启动5G、L4级智能驾驶重卡示范运营。年7月，上汽集团软件中心“零束”成立，聚焦智能驾驶系统、软件架构、基础软件平台和数据工厂。

造车新势力方面也不乏吃螃蟹者，以小鹏汽车为例。公开资料显示，其量产车型小鹏P7，搭载了全新的XPILOT3.0自动驾驶辅助系统，可实现NGP（高速自动导航辅助驾驶）、ACC（自适应巡航）、LCC（车道居中辅助系统）、停车场记忆泊车等功能。

除此之外，当前市场上的语音交互、手机远程控制、车内外加载摄像头等智能化功能的搭载率也在日趋上升。

从目前整体来看，智能汽车发展还处于初期，用户隐私等信息安全已经引起了业内