部落格與觀點

8月22日至9月1日，VicOne和Block Harbor共同主辦了2025年全球汽車網路安全競賽（VCC），匯聚了來自世界各地、不同技能水平、但致力投身汽車網路安全事業的近500名人士。

在DEFCON 的一場公車遭到駭客攻擊的示範中，研究人員揭露攻擊者如何透過公車的公用Wi-Fi 進入並入侵關鍵系統，凸顯智慧運輸系統亟需更強大的車用資安防護。

在先前的分析中，我們認為 GenAI 不僅僅是一種工具，更是深植於汽車供應鏈中的一種「活」的風險。我們強調，AI 模型在其生命週期的每一階段都會引入隱而不顯、又持續演變的安全風險。隨著產業加速邁向 GenAI 驅動的軟體定義車（SDV），另一股強大的技術也正快速崛起—代理型 AI（Agentic AI）。

在本篇部落格文章中，我們將介紹一種系統性的開源情報 (OSINT) 驅動方法，此方法與 Auto-ISAC 汽車威脅矩陣（ATM）相互映射對應，並且專為汽車威脅情報所設計。這種方法能協助資安研究人員與汽車製造商，繪製連網車輛不斷擴張的攻擊面。

在今年Black Hat USA 2025大會上，資安研究人員揭露了電動車充電器上的漏洞，這些漏洞可能導致充電電纜過熱並造成起火。他們的發現凸顯了加強安全防護措施的迫切需求。

GenAI 與車輛系統整合，看似簡單的創新升級，其實是嵌入了一個能夠自主學習、演進和運作的系統。它不僅帶來了新功能，還帶來了一種新的、活生生的、不斷演變的供應鏈風險。

在本篇部落格文章中我們深入分析了今年Pwn2Own Automotive漏洞發掘競賽中針對特斯拉壁掛式充電樁的漏洞鏈，並將其映射到汽車威脅矩陣中，並探討了其對汽車網路安全以及電動車供電設備 (EVSE) 產業的更廣泛影響。

我們深入檢視一起事件，了解攻擊者如何利用已簽署的 Windows 安裝程式部署 Redline Stealer 惡意軟體，並成功繞過傳統防禦機制。此事件揭示了汽車網路安全的重大盲點，並強調在整個軟體供應鏈中落實零信任（Zero Trust）原則的必要性。

歐盟《資安韌性法(EU Cyber Resilience Act, CRA)》制定了針對包含數位元素的產品 (PDE) 的網路安全要求。這意味著供應鏈中的製造商必須監控漏洞，並在發現漏洞後立即報告，否則將面臨巨額罰款。在這樣的法規環境下，製造商亟需一套能主動監測漏洞並進行軟體物料清單（SBOM）管理的解決方案，以確保合規與資安同步到位。

一個最近揭露的 Linux 漏洞顯示，看似普通的錯誤，正逐漸開始影響軟體定義車輛（SDV）。我們解析 CVE-2025-6019、探討它對 Automotive Grade Linux（AGL）的影響，以及它對車載網路安全所代表的意義。

這是一篇針對車廠先進網路開發或是相關研究人員的實務實作指南。內容介紹如何深入研究先進車載網路的一種實用且經濟高效的方法，而這僅需使用一塊 STM32 板即可複製全尺寸抗干擾汽車微型網路 (RAMN) 的核心功能。這個實務實作指南中，我們將逐步介紹設定流程，讓車廠工程師和領域愛好者能夠使用最少的硬體來製作逼真可用來測試的汽車通訊系統的原型。

傳統的漏洞管理平台往往忽略零時差（zero-day）漏洞，使汽車產業面臨風險。深入了解 xZETA 如何提升漏洞的能見度，幫助業界領先掌握新興威脅。