VicOne 2025 年汽車網路安全報告

VicOne執行長鄭奕立表示，目前正處於移動運輸技術的變革時代，人工智慧（AI）等創新技術正在幫助汽車製造商創造車輛差異化、加速上市時間，並提升客戶體驗。在車輛供應鏈的各個層面採取主動且多層次的網路安全策略，將有助於汽車產業領先應對不斷演變的威脅，並在迎向前所未有的機會時持續蓬勃發展。

從軟體定義車輛（SDVs）及AI賦能的推進、電動車充電環境的不斷變化，再到車載系統漏洞的激增，顯示出汽車產業正加速進入未知的領域。2024年共記錄了215起汽車網路資安事件，顯示這一年資安威脅持續存在。雲端與後端系統的漏洞成為最常見的攻擊向量，通常涉及勒索軟體攻擊、數據外洩及社交工程或網路釣魚攻擊。車輛劫持、供應鏈漏洞、無鑰匙進入技術的攻擊，以及車輛電子虛擬化攻擊，主要影響車載系統與OTA（無線更新）漏洞。

供應鏈攻擊變得更加複雜且破壞力更強。去年，犯罪分子明顯將供應商與第三方零組件供應商作為攻擊目標，因為它們是整合緊密的產業中最脆弱的環節。例如：2024年6月針對一家汽車經銷商軟體供應商的勒索軟體攻擊，導致超過15,000家北美經銷商營運受阻。

對地下黑市訊息交換的分析顯示，針對汽車及整個產業的多層次、大規模攻擊變得越來越可能發生。當前的手動汽車改裝駭客攻擊，正逐步轉向更具破壞性且大規模的攻擊，例如：用戶冒充與帳戶竊取。

2024年發布的汽車相關漏洞（CVE）總數達到530個，再創新高，數量將近2021年的兩倍。漏洞的大幅增加凸顯汽車攻擊面與系統複雜性的快速擴張。漏洞類型從晶片相關問題轉向涉及車載資訊娛樂系統（IVI）、作業系統以及電動車充電基礎設施的CVE。在2025年1月22日至24日於東京舉辦的全球最大零日漏洞發掘競賽「Pwn2Own Automotive 2025」中，來自13個國家的頂尖資安研究人員發現了49個主要影響IVI及電動車充電系統的零日漏洞。

人工智慧的廣泛應用雖帶來前所未有的機遇，但也為汽車製造商帶來了全新的營運、財務與戰略風險。美國運輸部（USDOT）於2024年9月發表的白皮書《理解AI在交通領域的風險》指出，AI系統可能在其生命週期內遭遇濫用與誤用，原因包括過度或不足利用、超出運行範圍的操作，甚至惡意行為。人類可能是這些漏洞的來源，也可能根據其在系統中的角色而協助防範風險。

大型語言模型（LLMs）作為生成式AI的基礎，因依賴企業關鍵數據、自主學習難以控制且易出錯，成為網路犯罪分子的首要攻擊目標。不安全的外掛設計、不當的輸出處理以及對抗性攻擊，都是AI運用中需解決的主要營運風險。此外，治理結構的劇變的戰略風險及責任歸屬、風險管理與品牌形象等財務風險也逐漸浮現。