部落格與觀點

歐盟《資安韌性法(EU Cyber Resilience Act, CRA)》制定了針對包含數位元素的產品 (PDE) 的網路安全要求。這意味著供應鏈中的製造商必須監控漏洞，並在發現漏洞後立即報告，否則將面臨巨額罰款。在這樣的法規環境下，製造商亟需一套能主動監測漏洞並進行軟體物料清單（SBOM）管理的解決方案，以確保合規與資安同步到位。

一個最近揭露的 Linux 漏洞顯示，看似普通的錯誤，正逐漸開始影響軟體定義車輛（SDV）。我們解析 CVE-2025-6019、探討它對 Automotive Grade Linux（AGL）的影響，以及它對車載網路安全所代表的意義。

這是一篇針對車廠先進網路開發或是相關研究人員的實務實作指南。內容介紹如何深入研究先進車載網路的一種實用且經濟高效的方法，而這僅需使用一塊 STM32 板即可複製全尺寸抗干擾汽車微型網路 (RAMN) 的核心功能。這個實務實作指南中，我們將逐步介紹設定流程，讓車廠工程師和領域愛好者能夠使用最少的硬體來製作逼真可用來測試的汽車通訊系統的原型。

最近一起LockBit 勒索病毒集團的遭駭入侵事件，揭露了大量內部聊天紀錄，讓外界得以一窺該集團如何鎖定受害對象並進行勒索。其中，汽車公司以成為其主要攻擊焦點之一。我們將深入剖析此次資料外洩的關鍵發現，並提出務實的做法步驟，讓車廠面對LockBit 或類似的網路攻擊事件得以採取適當的防範措施。

傳統的漏洞管理平台往往忽略零時差（zero-day）漏洞，使汽車產業面臨風險。深入了解 xZETA 如何提升漏洞的能見度，幫助業界領先掌握新興威脅。

一位研究人員成功解密車載資訊娛樂系統的 Android OTA 更新，進而獲取了專有程式碼的存取權。我們研究了他使用的方法，以及介紹這對現代車輛網路安全所代表的意義。

隨著汽車網路威脅變得越來越複雜，汽車威脅情報 (TI) 變得更加重要。但並非所有解決方案都能有效降低風險。我們探討了為什麼正確的汽車 TI 方法可以帶來洞察力和資訊過載之間的差異。

當今的威脅變化如此之快，以至於靜態的威脅分析和風險評估 (TARA) 已無法跟上。我們討論了動態 TARA 如何透過更快的回應、更緊密的協作和持續的防護為組織帶來優勢。

隨著 AI 助理成為車輛的標準配備，諸如提示注入（Prompt Injection）之類的新型風險也悄然浮現，透過看似無害的輸入悄悄地操控系統。我們將探討攻擊者如何在日常互動中利用這類「隱形指令」，以及為什麼從輸入層面保護 AI 系統對汽車安全非常重要。

Apple的AirPlay通訊協定中出現一系列被稱為「AirBorne」的高風險漏洞，可能使搭載CarPlay的車輛面臨遠端程式碼執行、隱私洩漏，甚至系統遭入侵的潛在風險。我們將說明這些漏洞的技術細節原理、生活中實際可能遭利用的情境，以及車主與汽車產業相關業者可以採取哪些措施來保護自己。

我們分析了安全研究人員在 Pwn2Own Automotive 2024 上針對 Pioneer DMH-WT7600NEX 車載資訊娛樂系統(IVI)展示的三漏洞攻擊鏈。我們將其對應到汽車威脅矩陣(Automotive Threat Matrix)，並重點介紹了緩解類似漏洞的業界最佳實踐，期降低類似的攻擊風險。

隨著電動車（EV）車隊互聯程度越來越高，網路安全在確保長期運行效能、合規性與資產管理方面扮演關鍵角色。我們將探討現代車隊面臨的主要網路風險，並提出可行策略，幫助企業確保車輛的安全性、運行穩定性與高效的生產力。