在近期举办的Pwn2Own Automotive 2026汽车安全黑客大赛上,全球顶尖安全团队展开了一场激烈的技术较量。这场聚焦汽车领域安全漏洞的赛事中,多个知名品牌产品被攻破,引发行业对智能汽车安全性的深度关注。
法国团队Synacktiv凭借精湛的漏洞利用技术成为最大赢家。在"基于USB的攻击"项目中,该团队通过组合信息泄露与越界写入两类漏洞,成功获取特斯拉车载信息娱乐系统的最高权限,赢得3.5万美元奖金。更令人瞩目的是,他们通过串联三个未知漏洞,攻破索尼XAV-9500ES数字媒体接收器,额外斩获2万美元奖励。这项成就展示了复杂漏洞链的组合攻击在汽车安全领域的现实威胁。
赛事排行榜呈现多元化竞争格局。Fuzzware.io团队通过攻破Alpitronic HYC50充电桩、Autel充电器及Kenwood DNR1007XR车载导航设备,累计获得11.8万美元奖金。DDOS团队则聚焦充电基础设施安全,成功入侵ChargePoint Home Flex等三款充电桩,收获7.25万美元。PetoWorks团队利用三个零日漏洞组合,取得Phoenix Contact CHARX SEC-3150充电控制器的root权限,获得5万美元奖励。
本届赛事延续了往届的高发现率传统。根据组委会规则,参赛团队提交的零日漏洞将进入90天修复窗口期,在此期间厂商需完成安全补丁开发。Trend Micro旗下的Zero Day Initiative(ZDI)将在补丁发布后公开漏洞细节,这种机制既保障了用户安全,又为行业提供了技术改进的缓冲期。
回顾赛事发展历程,安全研究水平呈显著提升趋势。2025年赛事共发现49个零日漏洞,黑客团队获得88.625万美元奖金;首届2024年赛事同样发现49个漏洞,但奖金总额高达132.375万美元。这种变化反映出随着汽车智能化程度提升,安全研究的复杂性和价值也在同步增长。当前赛事结果再次证明,智能汽车生态系统正面临日益严峻的安全挑战。
