日本東京舉辦的年度汽車資安競賽「Pwn2Own Automotive 2026」落幕，資安研究人員在三天內揭露76個全新零日漏洞（zero-day），總獎金高達104.7萬美元。這場由Trend Micro Zero Day Initiative（ZDI）主辦的賽事，聚焦車輛資訊娛樂系統（IVI）與電動車（EV）充電樁等聯網組件，暴露汽車產業在軟體定義車輛（SDV）時代的安全隱憂。研究人員僅需刷一張NFC卡，就能讓家用EV充電樁瞬間淪陷，引發全球汽車製造商與消費者高度關注。對台灣電動車市場與供應鏈而言，此事件敲響警鐘，凸顯聯網車輛與基礎設施的攻擊面正急速擴大。

 

Pwn2Own Automotive自2024年起成為專門針對汽車系統的獨立賽事，今年邁入第三屆，參賽團隊針對市售車載娛樂系統、EV充電設備發動攻擊。比賽規則要求必須利用先前未知的零日漏洞實現完整控制（full win），並排除已公開或重複的漏洞。結果，三天內共76個獨特零日漏洞被成功展示，成功率達五分之六，約三分之一攻擊因「碰撞」（collision，先前已被他人利用同一漏洞）而僅獲部分獎金。

 

最令人震驚的演示來自法國資安團隊Synacktiv。他們針對Autel MaxiCharger AC Elite Home 40A（一款家用40A交流充電樁）發動攻擊：研究人員僅走近充電樁、刷一張NFC卡，即觸發緩衝區溢位（buffer overflow），成功接管整個系統。ZDI威脅意識主管Dustin Childs形容：「他們就這樣走過去，用NFC卡一刷，就完全控制充電樁，太驚人了。」此攻擊無需物理接觸充電槍或藍牙配對，僅靠近場通訊（NFC）即可實現，顯示充電設備的無線介面成為全新攻擊向量。

 

除了NFC，研究人員還利用充電槍的通訊協定（Charging Connector Protocol/Signal Manipulation）攻擊EV充電樁。例如，針對Alpitronic HYC50（Level 3快速充電樁，在美國與多國廣泛部署），團隊從電動車端插入充電槍，即可逆向操控充電設備，實現雙向感染。Childs指出：「從車輛端插上就能駭充電樁，反過來也一樣，這種通訊層級我們以前沒想過。」其他團隊則針對ChargePoint Home Flex、Grizzl-E Smart 40A等熱門家用充電器發動攻擊，顯示EV基礎設施的安全設計仍不成熟。

 

車載資訊娛樂系統（IVI）仍是老問題。今年賽事中，多款市售IVI系統輕易被攻破，包括Tesla、Sony、Alpine、Kenwood等品牌。NCC Group資安研究副總監Alex Plaskett表示，IVI的安全水準遠低於高階手機（如iOS或Android），缺乏現代防護機制，如地址空間佈局隨機化（ASLR）或堆疊保護，導致簡單的越界寫入（out-of-bounds write）或未修補漏洞即可達成完整控制。ZDI甚至被迫禁止某些去年已曝光但廠商仍未修補的漏洞重複參賽，凸顯汽車供應鏈的修補速度緩慢。

 

NCC Group資安顧問Liz James進一步分析，許多漏洞並非傳統程式錯誤，而是架構設計缺失。車輛的診斷介面、保固查詢、經銷商維護通道等「預期功能」若缺乏深度防護，攻擊者可直接濫用這些管道控制整車或車隊。她警告：「攻擊者不需要漏洞，只要利用系統自身的維護工具，就能接管車隊。」隨著軟體定義車輛普及，車輛不再是純機械產品，而是高度聯網的電腦系統，一旦遭入侵，可能影響煞車、方向盤、動力輸出，甚至危及行車安全。

 

EV充電基礎設施的風險更不容忽視。國際能源總署（IEA）數據顯示，2025年全球電動車銷售佔比達22%，美國雖僅8%，但充電站部署速度飛快。James指出，EV基礎設施「天生聯網」，每一層皆整合網路功能，卻在產業尚未建立長期韌性前就大規模鋪設，風險高於傳統燃油系統。過去加油泵與燃料監控系統已有漏洞紀錄，如今EV充電樁的雙向通訊更放大攻擊可能性，可能導致充電站癱瘓、電網負載異常，甚至作為跳板攻擊車輛。

 

Pwn2Own Automotive 2026最終成績：Fuzzware.io團隊以7次成功攻擊、28分、215,500美元奪冠，並獲「Master of Pwn」冠軍頭銜；DDOS團隊與Synacktiv分列二、三名。總計獎金104.7萬美元，創汽車類賽事新高。Childs總結：「若能被入侵，它終將被入侵。這些攻擊的潛在影響令人膽寒，因為它們直接影響車輛運作。」

 

對台灣影響深遠。台灣擁有全球領先的電動車供應鏈，包括電池、充電設備與車用電子元件製造商，如台達電、台達化、裕隆集團旗下納智捷與鴻華先進等。許多台灣企業參與國際EV生態，若充電樁或IVI漏洞未及時修補，可能導致產品召回、供應鏈中斷，甚至國家能源安全風險。政府與產業界應加速導入汽車資安標準（如UN ECE R155/R156、ISO/SAE 21434），強制要求零日漏洞披露與快速修補機制。

 

專家建議車主與企業：

Pwn2Own Automotive 2026不僅是技術展示，更是對汽車產業的警訊。在電動化與聯網化浪潮下，安全不能再落後於創新。否則，一刷卡、一插槍，就能讓數十萬輛車與充電站成為駭客的獵物。

 

 

出處： 基於Dark Reading文章《Swipe, Plug-in, Pwned: Researchers Find New Ways to Hack Vehicles》，作者Robert Lemos，發布日期2026年1月24日；並參考Zero Day Initiative官方部落格《Pwn2Own Automotive 2026》系列日報（Day One至Day Three Results）、BleepingComputer、SecurityWeek、The Register等媒體報導。