汽車網絡攻擊總損失連年攀升，反映出汽車產業對網絡犯罪分子的吸引力日益增強。 2024年汽車網絡安全事件中，“全球性”事件占比達21.4%，凸顯汽車產業的互聯性，漏洞和網絡攻擊可能造成跨越國界的廣泛影響。 汽車漏洞數量大幅攀升，并于2024年達到歷史新高，數量將近2021年的兩倍。

全球車用安全廠商VicOne發布《換文件加速－VicOne 2025年汽車網絡安全報告》，揭示全球汽車產業在安全方面的嚴峻警訊。2024年汽車漏洞數量達到歷史新高，電動汽車充電、操作系統及車隊管理等領域的新挑戰也隨之浮現；而雖然人工智能增強了車內功能與運營效率，但同時引入了新的安全漏洞，如：Prompt Injection與受損的訓練數據，這些挑戰了傳統的安全防護方法。

從軟件定義車輛及AI賦能的推進、電動汽車充電環境的不斷變化，再到車載系統漏洞的激增，顯示出汽車產業正加速進入未知的領域。2024年共記錄了215起汽車網絡安全事件，顯示這一年安全威脅持續存在。云計算與后端系統的漏洞成為最常見的攻擊矢量，通常涉及勒索軟件攻擊、數據外流及社交工程或網絡釣魚攻擊。車輛劫持、供應鏈漏洞、無鑰匙進入技術的攻擊，以及車輛電子虛擬化攻擊，主要影響車載系統與OTA（無線更新）漏洞。

供應鏈攻擊變得更加復雜且破壞力更強。去年，犯罪分子明顯將供應商與第三方零部件供應商作為攻擊目標，因為它們是集成緊密的產業中最脆弱的環節。

對地下黑市消息交換的分析顯示，針對汽車及整個產業的多層次、大規模攻擊變得越來越可能發生。當前的手動汽車改裝黑客攻擊，正逐步轉向更具破壞性且大規模的攻擊，例如：用戶冒充與賬戶竊取。

2024年發布的汽車相關漏洞（CVE）總數達到530個，再創新高，數量將近2021年的兩倍。漏洞的大幅增加凸顯汽車攻擊面與系統復雜性的快速擴張。漏洞類型從芯片相關問題轉向涉及車載資訊娛樂系統（IVI）、操作系統以及電動汽車充電基礎設施的CVE。

人工智能的廣泛應用雖帶來前所未有的機遇，但也為汽車制造商帶來了全新的運營、財務與戰略風險。美國運輸部于2024年9月發布的白皮書《理解AI在交通領域的風險》指出，“AI系統可能在其生命周期內遭遇濫用與誤用，原因包括過度或不足利用、超出運行范圍的操作，甚至惡意行為。人類可能是這些漏洞的來源，也可能根據其在系統中的角色而協助防范風險。”

大型語言模型作為生成式AI的基礎，因依賴企業關鍵數據、自主學習難以控制且易出錯，成為網絡犯罪分子的首要攻擊目標。不安全的插件設計、不當的輸出處理以及對抗性攻擊，都是AI運用中需解決的主要運營風險。此外，治理結構的劇變的戰略風險及責任歸屬、風險管理與品牌形象等財務風險也逐漸浮現。

#汽車# #網絡安全# #電動汽車# #漏洞#