【2025年11月18日,台北訊】全球車用資安領導廠商VicOne今日宣布,將再次與趨勢科技的Zero Day Initiative (ZDI)共同舉辦第三屆Pwn2Own Automotive 2026汽車零日漏洞發掘競賽。時間和地點將於2026年1月21日(三)至23日(五)在2026年東京Automotive World全球汽車技術展覽會內進行。
今年的競賽由Tesla和Alpitronic冠名贊助,充分顯示網路安全不僅與軟體定義車輛(SDV)高度相關,與支撐全球電動車運行的充電基礎設施同樣密不可分。Tesla是電動車領導廠商,Alpitronic更是充電樁龍頭、目前歐洲最大的DC充電樁供應商,以其一體式、高功率充電樁擁有高市佔率。
2026年的一大亮點是新增了Level 3高功率充電設備的競賽類別。Alpitronic與開放充電聯盟(Open Charge Alliance)都是今年競賽的合作夥伴。Alpitronic將提供其高功率充電系統作為正式攻擊目標。Open Charge Alliance則提供OCPP合規性測試工具(OCPP Compliance Test Tool, OCTT)註一作為攻擊目標。隨著競賽範疇從車載系統擴展到充電網路和後端營運基礎設施,Pwn2Own Automotive正視電動車充電資安,並將其提升至與車輛安全和業務營運持續性同樣的重要性。
競賽類別 | 攻擊目標 |
Tesla | 針對以Ryzen為基礎的Tesla Model 3/Y等效平台(bench top unit)。 |
車載資訊娛樂(IVI)系統 | IVI是駭客的熱門攻擊目標,現場將提供四台IVI裝置作為攻擊目標:Sony XAV-9500ES、Alpine iLX-F511以及Kenwood DNR1007XR。 |
L3電動車充電器 | 本次新的競賽類別:Alpitronic HYC50 |
L2電動車充電器 | 本次競賽的攻擊面範圍包含行動應用程式、藍牙低功耗(BLE)連線,以及OCPP通訊協定等,這些介面皆可能被威脅行為者利用而對電動車造成危害。現場將提供八款電動車充電器供比賽使用:ChargePoint Home Flex (Model CPH50)、Phoenix Contact CHARX SEC-3150、Ford Connected Charge Station、Grizzl-E Smart Level 2、EMPORIA Pro Charger Level 2、Tesla Universal Wall Connector、 Autel MaxiCharger AC Elite Home 40A EV Charger、Ubiquiti Connect EV Station Pro。 |
開放充電聯盟 | OCPP Compliance Test Tool (OCTT) |
作業系統 | 參賽者必須試圖攻擊Automotive Grade Linux、Blackberry QNX及Android Automotive OS作業系統的漏洞。 |
表一:參加Pwn2Own Automotive 2026的獨立安全研究人員與團隊,將在六個類別中獲得並且累積積分
Alpitronic資訊與產品資安長Adam Laurie表示:「我們一直在關注這個專為連網車舉辦的漏洞發掘競賽,並且為每年針對充電設備發現的零日漏洞感到驚訝。身為歐洲領先的快速充電基礎設施製造商,我們認為能投入其中既是責任也是榮幸——尤其在高功率充電逐漸成為全球電動車生態系的核心支柱之際。今年,我們很榮幸以贊助商身分加入並支持這項重要倡議。期望攜手合作,加強電動汽車充電基礎設施的安全,共同建構更安心、健全且韌性的連網車生態。」
VicOne執行長鄭奕立表示:「快充設備不再只是插頭,它們已成為整個智慧移動的重要中樞。高功率充電系統一旦被成功入侵,可能會影響或癱瘓車隊、破壞充電網路,甚至影響車輛端的關鍵安全功能。Tesla和Alpitronic成為這次競賽的冠名贊助商,傳達了重要訊息,業界必須將充電系統視作網路安全邊界的一部分,而不是事後才顧慮的一個附屬項目,這一點至關重要。」
參加Pwn2Own Automotive 2026的獨立安全研究人員與團隊,將在六個類別中獲得並且累積積分;包含特斯拉、車載資訊娛樂系統(IVI)、Level 3電動車充電器、Level 2電動車充電器、開放充電聯盟/OCPP工具、以及作業系統(OS)。參賽者的競賽目標即是從攻擊目標中辨識出以往未知、未公開並且未通報過的漏洞。每個類別中,只有首位成功完成挑戰的參賽者有資格獲得獎金,挑戰的順序將在比賽前夕透過隨機抽籤決定。成功挑戰的參賽者將獲得積分和現金獎勵,最終累積最高積分的參賽者或團隊將被授予「Pwn大師」的榮譽稱號。
Pwn2Own Automotive漏洞發掘競賽是按趨勢科技Zero Day Initiative (ZDI)的框架來運作,意在對現實世界產生實質、可衡量的影響。該比賽為世界頂尖的研究人員提供受控且合法的途徑,讓他們能夠接觸到量產級車用技術的機會—從車載資訊娛樂系統(IVI)、作業系統(OS)、到商用電動車充電基礎設施—並鼓勵參賽專家們找出並披露此前從未通報過的零日漏洞。所有經過核實的漏洞都將透過ZDI負責任地披露給廠商,以利於他們在攻擊者利用這些漏洞或在黑市中交易之前完成修補。
趨勢科技威脅研究副總裁Brian Gorenc表示:「隨著車輛被軟體定義程度日益提高,每個介面都成為潛在攻擊面,包括車子插上的充電樁。這個針對連網車的競賽加速了真實世界的漏洞修補進程,協助車廠製造商(OEM)、相關供應商、和電動車充電基礎設施營運商在關鍵漏洞導致召回、停機或品牌商譽受損之前就能解決問題。」
Pwn2Own Automotive漏洞發掘競賽自2024年舉辦以來,已經發現了98個獨特的零日漏洞,直接強化了軟體定義車輛和電動車充電基礎設施的網路安全韌性。
主辦競賽的同時,VicOne亦參加了第18屆「Automotive World」展會,以展示車用資安解決方案。展位在SDV EXPO W12-6,歡迎蒞臨了解並與現場專家交流。
關於「Pwn2Own Automotive 2026汽車零日漏洞發掘競賽」
【日期與時間】2026 年 1 月 21 日至 23 日
【地點】Tokyo Big Sight(比賽場地在2026 全球汽車技術展覽會)
【網站】https://vicone.com/pwn2own-automotive
【報名截止日期】日本標準時間2026年1月15日下午5:00
參與者必須提交一份詳細說明漏洞測試程序和執行方法的白皮書以完成報名。參賽者也可選擇在線上遠端參與競賽。有關 Pwn2Own Automotive 及競賽規則的更多信息,請參考:https://www.zerodayinitiative.com/Pwn2OwnAuto2026Rules.html
註一:OCTT是一個用於驗證電動車充電設備(充電站、管理系統等)是否符合開放式充電點協定(OCPP)的規範的工具。
關於趨勢科技 (Trend ZDI)
趨勢科技為全球網路資安領導廠商,致力建立一個安全的資訊交換世界。憑藉著數十年的資安專業、全球威脅研究以及持續不斷的創新,趨勢科技跨雲端、網路、裝置及端點透過人工智慧驅動的網路資安平台隨時守護著全球數十萬家企業機構及數百萬一般使用者。趨勢科技身為雲端及企業網路資安領導廠商,我們的平台專為如AWS、Microsoft及Google的環境提供最佳化的各種強大進階威脅防禦技術,並具更好可視性可更快更有效的偵測及回應威脅。趨勢科技共有7000多名員工,遍布全球65國,協助企業機構保護其連網世界。如需更多資訊,請至:www.trendmicro.com。
關於 VicOne
VicOne致力保護未來車的安全,為汽車產業提供最新系列的車用資安軟體與服務。VicOne的解決方案專為滿足汽車製造商嚴格要求所設計,旨在保護並提供新型態汽車客製化的特殊需求。身為趨勢科技的子公司,VicOne憑藉著趨勢科技超過30多年在網路資安的堅固基礎,為客戶提供卓越的汽車防護與深度資安情報洞察,以協助建造安全又智慧的汽車。更多關於VicOne訊息請參考:https://vicone.com/zh。
Media Contact
Evelyn Chen 陳珮怡
evelyn_chen@vicone.com
