【谈思月度盘点】2月汽车网络安全产业事件金榜Top10

作为汽车网络安全产业发展的观察者、见证者及记录者，我们谈思将和同仁们一起为汽车网络安全落地献智献策，探讨智能汽车行业的新方向，共同拓展汽车网络安全产业新机遇！

从2023年1月开始，每月我们都将为业内同仁们收集整理产业标志性事件、产业要闻、技术动态、最新监管政策、白皮书发布等，助力大家把控行业动态，关键信息一网打尽！

小米通报汽车设计文件泄密处理结果：供应商被罚 100 万元

前不久，小米汽车因设计文件被泄密事件在汽车行业引发关注。2月2日，小米汽车对外通报该事件的处理结果，涉事合作方处以100万元的经济赔偿，泄密人也被处理。

通报显示，事件的起因是小米汽车合作方北京某模塑科技有限公司因对其下游供应商管理不善，泄露了汽车前后保险杠的早期设计稿。小米集团依据《保密协议》对涉事合作方进行了严肃处理，现对处罚结果公示如下：1. 依照《保密协议》处以100万元的经济赔偿；2. 责成其对下游供应商加强信息安全管理，并对泄密肇事人进行严肃处理；3. 责成供应商制定详细整改方案，全面升级保密措施。通告中，小米汽车强调，小米集团对泄密事件零容忍。所有供应商伙伴一定认真执行《保密协议》。

ChatGPT诞生，带来数据安全争议和威胁

2月2日，ChatGPT在OpenAI开放测试后风靡全球，仅仅两个月用户便达到1亿，这是OpenAI开发的基于GPT-3.5的AI驱动的聊天机器人，不仅能轻松模仿人类语言，甚至可以编写代码。但在其备受追捧的同时，ChatGPT也面临数据安全方面的争议，在科技巨头纷纷整合ChatGPT或布局“类ChatGPT”产品应用的同时，部分企业如微软、亚马逊等还提醒员工不要与ChatGPT分享敏感数据。

Marcus Hutchins是一位从黑帽转型为白帽的黑客，他尝试让ChatGPT把该组件跟其他必要功能组合成完整的恶意软件，事实证明，ChatGPT不光难以把各种组件整合起来，甚至连正确打开文件都很费劲。在这类基本排序问题中的糟糕表现，证明ChatGPT等生成式AI系统仍存在严重缺陷。尽管它们能够创建出与训练数据极为相似的内容，但大语言模型往往缺乏构成专业知识的纠错工具与上下文知识。从文职工作到学术论文、再到专业考试，也包括黑客们擅长的恶意软件开发，这一切都将被ChatGPT所掌控。然而，这种论调其实掩盖了ChatGPT等工具的核心应用方式——并不是要取代人类专业知识，而是充当高效的AI助手。

ChatGPT虽然降低了黑客技术的学习难度和接触门槛，但同样的内容也完全可以在谷歌上轻松查到。在真正的转折来临之前，ChatGPT等工具所发挥的仍以辅助作用为主，做不到凭空生成恶意软件。高质量的网络钓鱼邮件已经很容易制作——可以由攻击者自己编写，也可以在外包平台上雇用专业翻译完成。ChatGPT的出现，只是把钓鱼邮件推向了规模化时代。

哪吒汽车获颁TÜV南德全球首张E13 UN R155 CSMS证书

2月7日，哪吒汽车荣获TÜV南德颁发的欧盟E13 UN R155 CSMS(Cyber Security Management System)车辆网络安全管理体系证书，这也是E13全球首张R155 CSMS证书。颁证仪式在哪吒汽车上海总部举行，哪吒汽车CTO(首席技术官)戴大力、TÜV南德意志集团大中华区高级副总裁孙建军等双方代表出席颁证仪式。

现代和起亚汽车爆出逻辑漏洞，只需一根 USB 线即可开走汽车

2月16日，韩国汽车制造商现代（Hyundai）和起亚（Kia）给旗下约 830 万辆汽车进行了防盗安全更新（预估有 380 万辆现代汽车和 450 万辆起亚汽车）。

据悉，此次安全升级的缘由是 2022 年 7 月 TikTok 上疯狂传播的“Kia Challenge”活动，“实验人员”只需一根 USB 线即可盗走现代或者亚汽车，虽然此举本质上是一种偷车行为，但汽车存在安全逻辑漏洞的问题还是引起广泛讨论。

随着“挑战”事件发酵，现代汽车发布公告表示，为降低犯罪分子针对其没有按钮式点火装置和固定防盗装置的车辆盗窃案数量，公司正在推出一个免费的防盗软件升级，以防止车辆被盗。

极氪安全应急响应中心ZEEKRSRC正式上线

2月21日，极氪智能科技（英文名ZEEKR）作为全新高端智能纯电汽车品牌。秉持平等、多元、可持续的核心价值观，重点聚焦智能电动出行前瞻技术的研发，打造专属极氪模式。极氪以“共创极致体验的出行生活“为使命，从产品创新、用户体验创新到商业模式创新，致力于为广大用户带来极致出行体验。同时极氪以强大的SEA浩瀚架构为载体打造极氪全域安全，构建智能网联汽车安全双基因。

智能网联汽车的快速发展，给传统安全应急响应带来了新的挑战，使得传统的安全事件响应也由被动“亡羊补牢”的方式，向“先发现、先预防、先处理”的主动持续检测响应的方式转变，因此极氪依托极氪安全实验室(英文名ZEEKR ZERO)成立极氪安全应急响应中心（英文名ZEEKRSRC），链接：https://security.zeekrlife.com/

特斯拉接连在国内与国外发生严重事故，致人员伤亡

2月21日，特斯拉接连在国内浙江温州瑞安市与美国旧金山湾区发生严重交通事故，导致人员伤亡。网传视频显示，在国内浙江温州瑞安市一辆特斯拉Model 3(图片|配置|询价)在城区道路中高速行驶（甚至由于速度过快在通过一桥面时有腾空的迹象），随后与正常行驶的公交发生碰撞事故，致特斯拉内驾乘人员一死一伤，事故原因正在进一步调查处理中，特斯拉方面尚未对此次事故进行回应。此外，在美国旧金山湾区一辆特斯拉与一辆正在车道上执行救援任务的消防车相撞，事故造成特斯拉司机死亡，车上另一名乘客和四名消防员被送往医院。美国国家公路交通安全管理局正要求特斯拉公司就这一事故提供更多信息。

高危漏洞预警：车联网开源组件命令执行漏洞被监测出

2月21日，为辰安全实验室监测到部分智能网联汽车使用的开源项目busybox代码执行漏洞（CVE-2022-30065）。该漏洞影响多数车机娱乐系统IVI、TBOX、仪表等系统安全，Busybox官方已发布修复版本。Busybox是一个遵循GPL协议、以自由软件形式发行的应用程序。Busybox在单一的可执行文件中提供了精简的Unix工具集，可运行于多款POSIX环境的操作系统，例如Linux，Hurd，QNX，FreeBSD等等。由于Busybox可执行文件的文件比较小，使得它在智能汽车上运用非常广泛。该漏洞由于是Busybox的AWK模块使用释放后的内存，并且在copyvar函数中处理特制的AWK模式时可导致代码执行。

CAVD 2023｜汽车信息安全春季赛报名启动！

2021年9月1日起,由工业和信息化部、国家互联网信息办公室和公安部三部联合发布的《网络产品安全漏洞管理规定》正式施行。为落实《网络产品安全漏洞管理规定》,在工业和信息化部网络安全管理局指导下,由中国汽车技术研究中心有限公司建设运营的工业和信息化部车联网产品安全漏洞专业库(CAVD)于2021年9月1日正式上线运行,负责车联网产品安全漏洞的接收、审核、研判、处置等管理支撑，漏洞库具体由中汽数据有限公司承担建设与运营工作。根据《网络产品安全漏洞管理规定》要求,网络产品提供者发现或者获知所提供网络产品存在安全漏洞后,应当在获知漏洞后的2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。工业和信息化部网络安全威胁和漏洞信息共享平台按不同行业构建了漏洞专业库,汽车行业相关漏洞即报送至车联网产品安全漏洞专业库(CAVD)。

2023年中国网络和数据安全产业高峰论坛车联网安全分论坛在成都召开

2023年2月23日下午，由工业和信息化部、四川省人民政府主办，中国信息通信研究院承办的2023年中国网络和数据安全产业高峰论坛车联网安全分论坛在四川成都召开。工业和信息化部网络安全管理局副局长杜广达，吉林省通信管理局党组书记、局长纪有权，安徽省通信管理局副局长李庆坤，中国信通院院长余晓晖等领导出席会议。中国信通院安全研究所所长谢玮主持会议。

余晓晖在致辞中表示，当前车联网正处于技术创新、产业升级的快速发展期，车联网网络安全、数据安全与汽车功能安全、行驶安全等风险交织叠加，安全形势严峻复杂、安全保障任务紧迫。国家高度重视车联网产业发展和网络安全工作，要求车联网安全与发展同步推进。中国信通院是国内最早从事车联网安全科研、支撑和能力布局的机构之一，在工业和信息化部网络安全管理局的指导下，持续推进车联网网络和数据安全政策、标准、技术、产业等方面的工作与实践，下一步，中国信通院将持续推动构建产业链一体协同的车联网网络安全和数据安全综合保障体系，支撑车联网产业高质量发展。

谈思AutoSec人才培训中心“智能汽车安全攻防实训课程”胜利结课！

2月25-26日，“AutoSec智能汽车安全攻防实训课程”在上海成功举办，现场小班教学，学员积极互动，反响热烈！共20多位行业同仁全程参与，包括来自长城蜂巢、吉利、联合汽车电子、招商局检测车辆技术研究院、中电华大电子、安波福、防特网、交通大学、SGS等国内国际领先企业的汽车网络安全工程师、系统工程师及技术骨干。

本次实训课程授课讲师由泽鹿安全的安全专家团队担任。3位讲师不仅拥有丰富的汽车安全理论知识，并且在实践上也经验丰富，团队曾参与多次车联网安全比赛并屡屡斩获殊荣。实训课程立足车联网安全，主要从硬件安全评估、车载娱乐系统安全评估、车载固件安全评估来分析智能网联汽车安全案例和技术实操应用，学习智能网联汽车的攻击面，掌握汽车电子元件硬件安全的评估方法及相关接口定位及调试方法、车载娱乐系统测试方法、车载APP应用的渗透测试及逆向分析方法、车载固件ARM汇编基础分析方法、车载固件常见的溢出漏洞分析及漏洞应用等。在汲取丰富理论知识的同时，汽车攻防技术实操能力得到进一步提升。

为汇集汽车网络安全产业信息，如果大家有推荐或自荐的新闻，可以添加微信 taaslabs01 来联系小编哦~~