法国的Synacktiv安全团队这次把特斯拉的车载信息娱乐系统给攻下了。他们通过把信息泄露漏洞和越界写入漏洞结合在一起,构建出一条基于USB接口的渗透路径,就拿到了最高控制权限。这个方法还挺危险的,说明复杂的漏洞链在实际攻击中很难防范。而且他们也用类似的方法去攻索尼的车载媒体接收器,证明了跨系统的安全风险确实很大。在这次比赛中,全球顶尖的白帽黑客团队还陆续攻破了阿尔皮创HYC50充电桩、Autel充电器和ChargePoint等多品牌充电设备,暴露出这些设备在硬件控制模块和软件通信协议方面都有漏洞。有些攻击甚至把三个以上的零日漏洞给串联起来用,反映出充电设备在纵深防御上还不够完善。 这个比赛叫Pwn2Own Automotive 2026,2024年第一届的时候一共发现了49个零日漏洞。2025年虽然发现的数量一样,但攻击的难度明显提升了。这次很多团队都用跨系统、多层次的复合攻击手法,说明攻击者现在不满足于攻破单一设备了,而是要把整个生态系统都给渗透了。 这次比赛是由趋势科技零日计划(ZDI)组织的,他们规定被成功利用的零日漏洞细节要等厂商修好90天后才公开披露。这种模式让研究人员有了展示技术的平台,也给产业链企业提了个醒。这次的比赛给汽车网络安全防护能力做了个压力测试,也推动了技术革新。智能网联汽车越来越多了,所以建立全生命周期的动态安全防护体系就很重要。跨国界、跨领域的协作也很关键,这是保障产业健康发展和公共安全的关键路径。