2025 年汽車網路安全報告:汽車漏洞達歷史新高,AI、電動車及暗網風險持續攀升
VicOne 發布《換檔加速-VicOne 2025年汽車網路安全報告》,2024 年汽車網路攻擊損失達數百億美元,汽車漏洞數量於 2024 年達到歷史新高,AI、電動車及暗網風險持續攀升。
全球車用資安廠商 VicOne 發布《換檔加速-VicOne 2025年汽車網路安全報告》,揭示全球汽車產業在資安方面的嚴峻警訊。2024 年汽車漏洞數量達到歷史新高,電動車充電、作業系統及車隊管理等領域的新挑戰也隨之浮現;而雖然人工智慧增強了車內功能與營運效率,但同時引入了新的安全漏洞,如:Prompt Injection 與受損的訓練數據,這些挑戰了傳統的安全防護方法。
▲ 汽車網路攻擊總損失連年攀升,反映出汽車產業對網路犯罪分子的吸引力日益增強。
從軟體定義車輛及 AI 賦能的推進、電動車充電環境的不斷變化,再到車載系統漏洞的激增,顯示出汽車產業正加速進入未知的領域。2024 年共記錄了 215 起汽車網路資安事件,顯示這一年資安威脅持續存在。雲端與後端系統的漏洞成為最常見的攻擊向量,通常涉及勒索軟體攻擊、數據外洩及社交工程或網路釣魚攻擊。車輛劫持、供應鏈漏洞、無鑰匙進入技術的攻擊,以及車輛電子虛擬化攻擊,主要影響車載系統與 OTA(無線更新)漏洞。
▲ 2024 年汽車網路安全事件中,「全球性」事件占比達 21.4%,凸顯汽車產業的互聯性,漏洞和網路攻擊可能造成跨越國界的廣泛影響。
供應鏈攻擊變得更加複雜且破壞力更強。去年,犯罪分子明顯將供應商與第三方零組件供應商作為攻擊目標,因為它們是整合緊密的產業中最脆弱的環節。
對地下黑市訊息交換的分析顯示,針對汽車及整個產業的多層次、大規模攻擊變得越來越可能發生。當前的手動汽車改裝駭客攻擊,正逐步轉向更具破壞性且大規模的攻擊,例如:用戶冒充與帳戶竊取。
▲ 汽車漏洞數量大幅攀升,並於 2024 年達到歷史新高,數量將近 2021 年的兩倍。
2024 年發布的汽車相關漏洞(CVE)總數達到 530 個,再創新高,數量將近 2021 年的兩倍。漏洞的大幅增加凸顯汽車攻擊面與系統複雜性的快速擴張。漏洞類型從晶片相關問題轉向涉及車載資訊娛樂系統(IVI)、作業系統以及電動車充電基礎設施的 CVE。
人工智慧的廣泛應用雖帶來前所未有的機遇,但也為汽車製造商帶來了全新的營運、財務與戰略風險。美國運輸部於 2024 年 9 月發表的白皮書《理解 AI 在交通領域的風險》指出,「AI 系統可能在其生命週期內遭遇濫用與誤用,原因包括過度或不足利用、超出運行範圍的操作,甚至惡意行為。人類可能是這些漏洞的來源,也可能根據其在系統中的角色而協助防範風險。」
大型語言模型作為生成式 AI 的基礎,因依賴企業關鍵數據、自主學習難以控制且易出錯,成為網路犯罪分子的首要攻擊目標。不安全的外掛設計、不當的輸出處理以及對抗性攻擊,都是 AI 運用中需解決的主要營運風險。此外,治理結構的劇變的戰略風險及責任歸屬、風險管理與品牌形象等財務風險也逐漸浮現。