AI・EV普及時代的陰影：白帽駭客對抗隱形漏洞

JSTORIES ー隨著能夠與網際網路持續連接，並利用外部系統資訊的「智能連網車（Connected Car）」逐步普及，汽車科技的便利性、安全性與駕駛效率大幅提升。然而，車輛的網路化也帶來了新的風險。例如，駭客可能遠端入侵，控制方向盤，甚至竊取車主的個人資訊，這類汽車相關的網路攻擊已成為一項日益受到關注的安全隱憂。

為了加強智能連網車（Connected Car）的資訊安全，關鍵對策之一是提前發現車載應用程式與作業系統中的未知漏洞，並在駭客利用這些漏洞進行攻擊之前，及時修復與強化安全性。

肩負重任的全球白帽駭客於今年1月齊聚日本，參加在東京舉行的一場為期三天的競賽，比拼發現「零時差漏洞」（指的是尚未被軟硬體廠商或大眾發現，且尚無修補程式（Patch）的安全漏洞）。的技術。

「Pwn2Own Automotive 2025」是全球規模最大的零時差漏洞發現競賽之，於東京國際展示場（Tokyo Big Sight）舉行。該競賽由專注於汽車網路安全的 VicOne（趨勢科技旗下子公司）與零時差漏洞發掘社群「Zero Day Initiative（ZDI）」共同主辦。延續了去年的首屆賽事，今年是該活動的第二次舉辦。

VicOne 的CEO執行長馬克斯・陳（Max Cheng）與趨勢科技（Trend Micro）威脅研究部門副總裁布萊恩・戈倫克（Brian Gorenc）於 2025 年 1 月 22 日在東京國際展示場（Tokyo Big Sight）正式宣布「Pwn2Own Automotive 2025」開幕。        提供：VicOne（以下皆同） — VicOne 的CEO執行長馬克斯・陳（Max Cheng）與趨勢科技（Trend Micro）威脅研究部門副總裁布萊恩・戈倫克（Brian Gorenc）於 2025 年 1 月 22 日在東京國際展示場（Tokyo Big Sight）正式宣布「Pwn2Own Automotive 2025」開幕。提供：VicOne（以下皆同）

今年的 Pwn2Own Automotive 中，來自13個國家的21支隊伍參賽，分為車載資訊娛樂（IVI）系統、電動車（EV）充電器、作業系統（OS）三個類別，挑戰發掘未知的漏洞。

為期3天的競賽中，總共發現了49個零時差漏洞（Zero-Day）。由來自英國的網路安全研究員Sina Kheirkhah（隸屬 Summoning Team）拿下最高榮譽「Master of Pwn」頭銜，並抱走222,250美元（約732萬台幣）的獎金。

本次活動與專注於汽車尖端技術的展覽會「Automotive World」聯動舉辦，受到業界矚目。

從左至右：Zero Day Initiative（ZDI）的達斯汀・查爾茲（Dustin Childs）、Pwn2Own Automotive 2025「Master of Pwn」得主西納・凱爾哈（Sina Kheirkhah）、VicOne 執行長馬克斯・陳（Max Cheng）、趨勢科技（Trend Micro）威脅研究部門副總裁布萊恩・戈倫克（Brian Gorenc）。

Pwn2Own Automotive為何僅在日本舉辦？

關於「Pwn2Own Automotive」連續兩年僅在日本舉辦的原因，主辦方VicOne的CEO執行長馬克斯・陳（Max Cheng）表示，日本是最佳舉辦地，因為這裡能夠提供與汽車產業主要企業直接交流的機會，同時強調汽車技術領域中網路安全的重要性。

在 Pwn2Own 2025 上強調汽車技術領域網路安全重要性的VicOne執行長馬克斯・陳（Max Cheng）。

「日本的汽車產業擁有世界頂級的規模，其影響力甚至超越美國。憑藉卓越的安全性與品質標準，日本為我們開發與精進網路安全解決方案提供了理想的環境。」馬克斯・陳（Max Cheng）如此表示。

日本不僅在汽車技術領域確立了領導地位，同時也擁有如VicOne的母公司——趨勢科技（Trend Micro）這樣，在網路安全領域具有全球競爭力的企業，進一步證明了日本作為活動舉辦地的戰略重要性。「在日本舉辦這項賽事，是提升汽車領域網路安全意識的絕佳機會。隨著車輛越來越多地與網路連接，攻擊風險不斷上升，這一議題的重要性也持續增加。」馬克斯・陳（Max Cheng）補充說明。

充電基礎設施的脆弱性與新興網路安全風險

隨著電動車（EV）與智能連網車（Connected Car）普及，汽車網路安全面臨前所未有的新風險。2023年，全球電動車銷量已達約1,400萬輛，佔整體乘用車銷量的約18%。相較2020年的4%，呈現大幅增長。此外，預估2025年全球運行中的連網車將超過4億輛，相較於2021年的約2億3,700萬輛，增長速度驚人。這種快速擴張也意味著潛在的網路攻擊風險將大幅上升。

另一方面，智能連網車的快速普及，加上5G、Wi-Fi、Bluetooth等資訊技術的發展，正在擴大網路攻擊的途徑，使汽車相關的資訊安全風險以各種形式不斷增加。

「充電基礎設施的脆弱性就是其中一個例子。網路犯罪者可能會利用這些系統作為突破點，進而入侵車輛，但大多數人並未意識到這一風險。」馬克斯・陳（Max Cheng）指出。

充電中的電動車（EV）。    提供：Envato（以下同樣適用） — 充電中的電動車（EV）。提供：Envato（以下同樣適用）

此外，馬克斯・陳（Max Cheng）警告稱，不僅是電動車（EV），其他類型的車輛同樣面臨安全風險，然而許多使用者尚未意識到這一點。

「風險不僅限於電動車（EV）。包括混合動力車（Hybrid）在內，所有內建作業系統的車輛都可能成為網路攻擊的目標。隨著日本電動車市場的擴展，對於先進的網路安全解決方案的需求也日益增加。」

AI帶來的汽車網路安全挑戰

人工智慧（AI）正以多種形式改變汽車產業，例如自動駕駛技術與安全性的提升。然而，這同時也帶來了新的挑戰。「車輛內建的 AI 系統，例如語音控制功能，可能會被駭客劫持或發生故障，從而引發危險狀況。此外，個人資訊外洩的風險也不容忽視。」馬克斯・陳（Max Cheng）解釋道。

為了應對這些挑戰，VicOne正積極開發利用AI技術的工具，以保護車輛安全，並防止機密資訊外洩。「我們不僅利用AI來確保系統的安全性，還將其作為更高效的監測與檢測工具，以識別潛在的安全侵害。」馬克斯・陳（Max Cheng）表示。

AI技術的發展使得透過智慧型手機控制車輛成為可能，但同時也帶來了系統遭駭（劫持）或操控失靈等風險日益增加的問題。。

AI技術使得透過智慧型手機操控車輛成為可能，但同時也凸顯出系統遭駭（劫持）或操作失靈等風險日益增加的問題。

識別零時差（Zero-Day）漏洞的重要性

Pwn2Own競賽的目標是在實際環境中測試最先進的汽車軟體，並在漏洞被黑市惡意利用之前加以識別，以強化汽車的網路安全。主辦單位表示，高達5,000萬美元的高額獎金不僅吸引全球白帽駭客（White Hat Hackers）積極參與，還促進資安研究的發展，培養下一代的網路安全人才。這不僅是對當前技術的提升，更是對未來風險防範的一項重要投資。