飞驰中的一亿行代码：智能汽车如何安全上路？

在当今的汽车产业中，软件定义汽车、汽车电气化、网联及自动驾驶已经受到越来越多的关注。得益于更加先进且复杂的软件，汽车产业可以提供更强劲的安全功能、更便利的操作以及更佳的用户体验。但不可忽视的一点是，漏洞风险也随之增加，攻击面更广。

当前，汽车行业正在设法提升用户体验，不仅要兼顾性能和智能，还要将软件代码安全贯穿于产品的全生命周期。因为，软件正在成为现代汽车行业发展不可或缺的一部分。一辆现代智能网联汽车拥有150个电子控制单元，所包含的软件代码已接近1亿行，超越了一个普通操作系统包括的代码量，并且到2030年这一数字还将有望突破3亿行。汽车产业的发展可谓千里之行，始于安全。

多年来，新思科技帮助车企管理整个软件开发生命周期（SDLC）和供应链的风险，支持在智能网联汽车中构建软件安全性及可靠性，并获得业界的普遍认可。同时，新思科技也会分享经验和观察，为智能车企业提供有价值的借鉴，助力加强其产品在SDLC的每个阶段和整个软件供应链中的软件安全状况。

网络安全趋势和标准

近年来，全球汽车行业引入了多项新标准和法规，包括ISO/SAE 21434网络安全工程、面向网络安全的汽车SPICE以及UN-R155网络安全和网络安全管理系统。随着越来越多的机构为产品开发制定网络安全政策、流程和活动，汽车行业网络安全的成熟度逐步提高。

现代汽车的威胁和安全挑战

现代汽车通常具备这几个特点：软件定义汽车、汽车电气化、网联及自动驾驶。面向这些特性，主要有四个方面的威胁和安全挑战需要考虑。

• 无线接口，包括Wi-Fi、蓝牙、蜂窝通信和V2X （Vehicle to Everything）。此外，自动驾驶汽车可以包含40多个摄像头和传感器，包括前置摄像头、环视摄像头、侧摄像头、后视摄像头、前置雷达、后置雷达、激光雷达和多个超声波传感器。
• 有线接口，包括常见的攻击媒介，即车辆中的诊断端口。对于电动汽车，充电端口是一个额外的攻击媒介。
• 网联汽车的目标系统包括面向外部的系统，例如车载信息娱乐系统、远程信息处理控制单元和V2X连接单元。此外，系统可能包含有价值的资产，例如个人身份信息和加密密钥/凭证。还有控制重要或关键功能的系统，例如无钥匙进入系统（通过车身控制模块）、被动地进入被动启动系统和电池管理系统。对于自动驾驶汽车，目标系统包括与高级驾驶员辅助系统和自动驾驶相关的安全关键系统。这些系统负责转向、加速和制动等功能。
• 生态系统涉及其它车辆、用户的移动设备、OEM 后端、云解决方案和无线更新平台。对于电动汽车，生态系统还涉及充电站、智能家居和电网等V2G （Vehicle to Grid）实体。除了保护汽车本身外，还必须确保生态系统中所有安全关键实体的安全。

克服挑战并减少现代汽车安全漏洞

汽车企业应遵循最佳实践并根据ISO/SAE 21434等标准制定网络安全政策和流程，包括部署适当的应用安全测试工具以建立安全的软件开发生命周期。

为了确定产品中的关键风险，车企应以项目级活动为重点，进行威胁分析和风险评估。在产品开发过程中，应对软件进行安全漏洞测试。比如执行静态应用安全测试（SAST）以检测源代码中的问题；此外，还要执行软件组成分析（SCA）以检测通信库或加密库等常用库中易受攻击的开源软件组件；而且应在高风险无线和有线接口上执行模糊测试，以检测实施问题和安全漏洞；应对生态系统中的软件（例如网络应用和移动应用）执行动态应用安全测试（DAST）和渗透测试。

近年来一直热议的AI技术，同样需要谨慎区分利与弊。随着AI技术的蓬勃发展，汽车行业可以抓住新机遇。例如ChatGPT，一款于2022年11月发布的人工智能聊天机器人，并在两个月内达到了1亿用户。基于这些强大的AI语言模型，汽车制造商可以构建数字助理，并使用汽车特定信息训练AI模型。比如使用Linux和Unix手册页以及C和Python编程语言对ChatGPT进行训练的方式。可以想象一家汽车制造商使用汽车用户手册中的信息以及有关如何支持常见用例的信息来训练数字助理，包括路线规划、与智能家居和设备的集成、充电等。这将使得用户轻松询问有关仪表盘上闪烁的警告灯的问题、规划前往机场的有效路线、打开车库门或连接用户设备、查找和预订充电点等，而无需翻阅大量用户手册或使用和管理多个设备或系统。

但是风险呢？车企需要考虑使用哪种类型的训练数据，以及应用定义允许使用哪种类型的信息进行何种响应的策略。这些非常重要。不法分子在早期可利用有限限制的ChatGPT编写恶意软件和黑客工具或获取可用于恶意目的的信息。同样，汽车中的数字助理也可能被滥用以获取某些私密信息，例如如何克隆密钥或运行未经授权的命令。这可能导致汽车失窃等。

总而言之，虽然在汽车中部署数字助理会带来很多好处，并会改善用户体验。但考虑风险也很重要。因此，车企必须研究使用哪些培训数据，并考虑对响应内容提供某种类型的限制，以防止滥用或恶意行为。