加入轩辕同学，成就新汽车人 !

作者   |   李均（犬安科技 CEO）

编辑   | 郝雨涵   

设计   |   甄尤美

2023 年 Pwn2Own 黑客大赛上，法国团队 Synacktiv 亮出硬核操作——凭借 TOCTTOU 攻击技术，仅耗时 2 分钟就远程攻破特斯拉 Model 3 的网关系统与信息娱乐子系统，一举拿下 35 万美元奖金和一辆 Model 3 新车。

这绝非赛场噱头，而是智能汽车网络安全风险的真实切片。

早在 2015 年，菲亚特克莱斯勒美国公司曾宣布召回约 140 万辆存在软件漏洞的汽车，原因是两名黑客在车辆行驶过程中，从 10 英里之外用计算机侵入名为 Uconnect 的触屏车载无线电系统，对车辆的方向盘、油门、刹车以及空调、收音机、雨刷等功能加以操控。

这类威胁并不是外资品牌的 " 专属难题 "，自主品牌同样难逃一劫。

此前，蔚来汽车就曾遭遇勒索攻击，攻击者窃取核心数据后，公然索要价值 225 万美元的比特币，气焰嚣张。

正是在这样的行业背景下，探析汽车网络安全攻防的技术演进与治理路径，成为筑牢产业安全防线、推动智能汽车高质量发展的必答题。

2025 年 12 月 6 日下午，WNAT-CES 2025 新汽车技术合作生态交流会的 " 西兰花会场・汽车安全论坛 " 上，犬安科技 CEO 李均带来题为 "MBSE+AI 驱动网络物理系统全生命周期网络安全 " 的主题演讲。

谈及演讲初衷，李均半开玩笑地感慨：" 想跟大家感叹一下中国创业，被友商卷、被客户卷的经历。"

聊到行业困境，他更是直言不讳：" 做网络安全其实很难，一方面是国内的车企很卷，还有另外一方面是地缘政治的原因。"

" 像我们这样的创业公司，其实碰了不少壁，尤其是想拓展美国市场的时候。明明客户都认可我们的产品实力，最后却可能转头去签以色列的供应商。这就是我们实实在在遇到的难处。"

但其实，犬安科技的硬核技术实力毋庸置疑，创始人李均更是具备前瞻性战略眼光的行业领军者。

早在 2017 年，该企业便成功挖掘特斯拉系统漏洞，跻身特斯拉官方名人堂；2023 年，其技术团队又精准捕获苹果手机应用功能缺陷，凭借扎实的技术储备，已为多家行业厂商完成漏洞修复工作，是名副其实的网络安全领域先锋力量。

据李均介绍，公司的核心宗旨，就是用黑客的思维做安全：" ‘未知攻，焉知防’—— 这是犬安科技实验室的立身准则。

我们要求团队必须站在攻击者的视角审视问题，吃透每一条攻击路径和手段。在此基础上设计的产品与服务，都以‘对抗性防御’为核心导向，就是要给客户提供真管用的安全解决方案。"

谈及汽车网络物理系统安全，李均特别强调其与传统 IT 安全的本质差异：" 汽车领域的安全防护，必须把安全设计前置。只有通过系统化的方案规划和风险研判，才能规避后期修复成本高到离谱，甚至根本无法修复的棘手问题。"

至于 AI 如何赋能网络安全，李均举了个生动的例子："AI 能帮我们精准拆解攻击者的完整攻击路径。就拿偷车来说，它能基于车辆的系统架构、数据指令传输链路，推演一套完整的攻击可行性方案。"

" 我们拿着这个结果，就能针对性优化安全设计，把防御措施钉在真正的关键节点上。这就跟会场布防一个道理——不是随便安排几个保安就万事大吉，关键是找对布防点位。要是把保安全堆在门口，保不齐就有人从会场前方钻空子。说到底，网络安全要的就是这种掐住要害的全局最优解。"

以下为李均演讲实录，《汽车商业评论》略作编辑。

黑客思维，直面网络物理系统三大挑战

现场和线上的各位观众，大家下午好！

感谢贾博士给我机会跟大家分享犬安科技在做的一些事情，以及这些事情背后的一些思考。

我们今天的分享主题叫 "MBSE+AI 驱动网络物理系统全生命周期网络安全 "，是我们公司的一个定位，我会跟大家分享一下我们为什么会把自己的公司定位去解决这样的问题。

我强调一下公司另外一个很重要的点，犬安科技刚才说解决网络物理系统的安全，我们有一个信仰就是说未知攻、焉知防。

所以我们犬安科技的实验室里面你可以看到时刻提醒自己，一定要去理解攻击以黑客的思维去思考我们要解决的这些问题，我们给客户提供的服务和产品也必须从一个对抗攻击角度去设计。

结合一下我们公司团队的背景，我们公司在 2013 年开始关注网络系统安全，2020 年我们开始公开分享一下智能汽车的入侵检测系统，向全球交流分享，也挖掘了很多的漏洞。

我们也发起了一些黑客的社区，这也是和我们刚才说的信仰有关系，一定要跟一线黑客们保持长期的沟通，才能够理解如何做好你的防御体系。

这是我们挖掘特斯拉的漏洞，当时特斯拉也是非常重视邀请我们跟他们几个子公司的团队交流，这是我们发现的一些漏洞，不只是汽车，运输网络我们还对苹果手机、路由器、机器人都会去研究，其实都是共通的。

过去发现的一些高危漏洞，像跟宝马发掘的漏洞，宝马现在也把我们纳入他们的供应链已经提供很久的服务，就是他们的车上市之前我会做测试。

这是我们去年攻击的一颗芯片，SPC58 的芯片，这种硬件级的漏洞大家都知道肯定是修复不了的，所以我们在美国本来做技术分享，结果美国国安局给我们发邮件，最后卡我们签字，最后没有去成。

做网络安全其实很难，难的话一方面是国内的车企很卷，还有另外一方面还有地缘政治的原因，像我们这么一家创业公司，其实有不少阻碍像去美国的阻碍，比如说我们客户认为我们产品好，最后也可能签一个以色列的供应商，这是我们遇到的一些困难。

我们现在智能汽车的网络安全，大家已经都很清楚，一个是隐私，一个是刚才说的延锋属于碰撞的安全，我们这属于主动攻击你的时候，你能够抵御住攻击，是否能抵御住攻击。

我们这个行业经常会接到一些需求，比如说你帮我查个人，定个位，帮我控个什么东西，破解个什么东西，其实我们就是搞破坏的，大家都是搞建设的。

机器人最近很火，最近刚出来一个漏洞，但在我们这个圈子里面看漏洞的原理非常简单，就是在开发过程中，如果稍微有一些思考的话就能避免的。

我们就举个例子，刚才讲了网络物理系统一个大的背景面临的挑战，我们总结下来过去基于我们跟各种车企，像通用、特斯拉和国内的车企，交流之后我们总结出来网络物理系统的三大挑战：

第一个，安全设计过于复杂。整个系统设计是跨学科的，比如说我做预控的，我做后台通讯系统的，我做手机 APP 开发的，其实是一个非常跨学科的系统性问题，这是最大的挑战。

第二个，安全开发与测试存在漏洞。像特斯拉这样的企业出现过我在设计的时候考虑到安全风险，但是我在实施的时候发现没有实现我的安全目标，没有得到充分验证的上限，最后导致了安全漏洞。

第三个，安全运营的敏捷性不足。安全你一定做不好，你车上市的时候一定是有漏洞的，首先你的手机上市之后你的使用还有一个月或者一周给你推升级，包括我们公司昨晚紧急修复了高危 10.0 的漏洞，如果那个漏洞被滥用，可能黑客可以从后台直接拿到我们 AI 服务器的权限。

所以行业共识是，安全防护没有绝对完美的终局，更不可能一蹴而就。最终比拼的核心，是对漏洞威胁的响应敏捷性——出现问题能否第一时间定位修复，修复的成本能否更可控、效率能否更高，这正是行业面临的三大核心挑战之一。

设计前置，木桶原理下的汽车网络安全

我们会分享怎么解决它，首先网络安全其实是很安全的行业，包括我们创业之初投资人也问我们，你们解决的问题跟 360、奇安信这些大企业解决的问题有什么区别？我给大家分享一下我们的认知。

传统的 AI 安全我们严重依赖于标准化的硬件，大社区的操作系统，比如说 Linux，然后大厂的硬件，比如说 Intel、AMD 提供底层芯片的，还有大公司的操作系统，比如说 VLM、Mircosoft 等等。

所以原来安全设计的问题、底层安全兜底的机制这些问题基本上大厂已经解决好了，你只要用好，只要有 Linux 上游的安全补丁就可以了。

但是在网络物理系统与我们的供应链不一样，我们的芯片、我们底层的软件固件等这些其实是自成一派的东西。

而汽车这几年才是大规模的联网，所以导致我们这个行业可能在过去只有极少数的 TOP 级的 Tier1 或者是主机厂，才会关注到网络安全这项工作。

但是消费者现在越来越依赖于大家说的彩电、冰箱、大沙发这个智能化的功能，它里面的安全性才更应该得到重视，而本身在底层解决问题，我们把原来大厂做的工作要转嫁到我们的主机厂、转嫁到汽车行业自己来解决。

芯片的安全，像我刚才讲的一颗芯片我们跟 ST 发过去报告之后，他们说我们在广告里面，没有声明我们能够抵御你这种攻击，其实这个回答是很有艺术的。

但是网络安全不是这样子的，网络安全是你要假设一切的可能性，就像是一个木桶原理一样，你在某些地方就算有量子密码或者是各种防御措施，但是有一个短板就失陷了。

要解决这个问题有一个思维转变，过去我们讲在传统 IT 安全领域我只要开发完了做测试就可以上线运营，出现各种问题的时候我们可能去更新我们的系统，就可以实现整个全生命周期运维的循环。

但是在汽车领域不一样，这种需要把安全设计前置，系统化地设计好、分析好，才能够避免后面修复成本过高、修复不了的问题。我们亲自挖的漏洞十个里面有八个都修复不了，你要修复的代价极高。

要解决这些问题，因为过去我们挖了那么多漏洞，包括通用汽车我们给它挖漏洞，人家特别积极地修复，我们也跟他们探讨好多轮的解决方案，但是他们的供应商说有极高的开发费，最后放弃了，所以那个车现在还在带着漏洞运行。

特斯拉不一样，我们提了一个月它就修复了，这是敏感性的体现。

为攻克复杂的安全设计难题，我们最初设想过两种路径：第一种是组建专业的网络安全咨询架构师团队，为客户提供全链路的网络安全体系设计服务。

但是我们觉得这个没法迁移，因为网络安全正儿八经懂攻击的人极少，而且他可能还是某一个具体的点，比如说无线电通信的安全，比如说硬件芯片的破解，它是一个非常分散的能力。

为了实现整个系统化的网络安全设计，把木桶每一块板都达到安全等级，我们需要借鉴传统的安全思维。

比如说做电路板设计的时候，它可以仿真提醒我这个地方有电磁泄漏，这

个导线太尖锐了会造成信号泄露等等，有一些工程思维的规则和思想已经

内化到产品分析平台本身。所以网络安全在过去 IT 的时候，其实有很多的

参考架构可以用，但是在我们网络微系统领域，其实跨学科的知识要求太高了，所以我们做成一个系统和工具。

参考建筑行业，过去我们搭一个窝棚，自己拍脑袋想就搭出来了，也可以用。但是后来我们近代发展出建筑科学，我们开始有绘图等等各种工程的做法了，可以修建更复杂的。

到现在的快速的修一个楼，我们可能有这样的 CAD 的系统，对这个楼整体的各种参数计算，在某一个局部承受的压力有多大，甚至结合当地的材料的实时的价格、结合当地气候历史数据，都可以把这个楼的抗震等级、抗风等级仿真得非常细，最后基于这个模型我可以优化很多变量。

比如说这个材料太贵，我能不能有替代的方式去做，把这个参数按照特定的材料设计。

所以犬牙科技的思维就是我们要把架构安全的能力赋能到一个工程化的软件里面。

所以我们去借鉴了美国这种大的机构，像 NASA 或者是波音做飞机这种复杂系统，复杂的全球供应链项目里面用到的工程化的 MBSE，我们基于它来做整个系统的模型，基于这个模型我们后面可以做很多安全设计、安全测试、安全运维的工作，接下来我给大家稍微讲一下。

全生命周期理念与平台搭建

我们做汽车网络安全设计或者是网络微环境设计的时候，左边有很多的信息要处理。

比如说我们的整车架构、安全需求、威胁场景，威胁场景就是攻击者怎么攻击你，损害场景就是我攻击你能造成什么后果。

比如说像刚才延锋一样撞击的时候这个人哪个地方受损伤，等级是什么样子。然后就是攻击路径、威胁情报、安全事件。

这还有一个区别，刚才我们虽然讲的 CAD 的思想，但是网络安全一定是全生命周期的事情，不像我们机械设计和其他设计是一蹴而就，基本上发布之后没有问题，我不用管它。

但是网络安全一定是全生命周期的问题，比如说我怎么去应急响应，这个时候就有一些小区别。

右边是我们整个模型可以自身做的事情，而且这些事情你可以从安全计划设计阶段的事情，应急响应后面的运营阶段的问题，覆盖全生命周期的。

这是一个我们举的例子，把这个相关的汽车的模型，网络安全法规的要求基于我们的模型数据去表示之后，在系统里面可视化展示出来，这还是一个小的系统，只是车灯控制系统，超出了我们一般安全工程师人脑能分析的程度。

所以我们一定要借助大模型大算力的提高，系统化地优化我们网络安全整体安全设计的方案。

这是我们的一个解决的方案，就是我们把基于我们模型表示，基于我们的威胁数据，我们过去的威胁支持，我们做了一个网络安全分析，你可以理解为是一个 CAD 软件，他对应你机械设计、电子设计的 CAD 软件。

基于这个软件我们可以把安全分析能力，工具的方式代替我们原来的安全专家向我们的车企或者说其他的系统设计的工程师交付。

目前像小米、阿维塔还有数十款车、几十款车的安全分析架构都是在这个平台上做的。

基于这个平台我们现在有了基本的系统模型表示，有了分析的一个平台，我们如何用 AI 提效，太细节的由于关系我就不讲了，后面我给大家看一下具体的使用体验，我们后面有非常复杂的理论支撑的，我们也发了一些网络安全的顶会，大家感兴趣可以去看。

这是 AI 用来分析攻击者的攻击路径。

比如说我们现在有个目标我要去偷一个车，基于我们系统的机构，系统实现的数据指令的传递路径等等他会给你分析一套攻击的可行性，你会基于这个结果去优化你的设计目标，在关键的地方部署你的防御措施。

就好像贾老师这个会场比如说哪一个地方部署一个保安，不是说有保安就行，而是要把保安部署到关键的地方，我不能都放门口，那我们可能就有人到前面来了，所以这是要有一个全局的优化解。我刚才说跨学科本来就很高，所以不是某一个人能够解决的问题。

这就是基于 AI 分析它整体的损害的评级。

比如说我的保安，我部署到这儿，我是解决了一个部署到哪里的问题，但防护是否持续有效、能否应对动态威胁，还要通过这种方式来进行评估。

最后我们把这些功能集成到一个智能体，智能体就可以非结构化、结构化地数据全部放到我们的平台里面。

基于这个平台完成整个全流程的网络安全设计，最后产出给我们的开发团队去指导的开发者文档，就是你要实现什么样的功能，哪个地方该做加密，哪个地方该做认证，哪个地方必须基于某某某法规标准，我要去做合规的一些开发等等。

全生命周期模型的实践、优势与展望

这是我们后面的理论基础，大家感兴趣可以拍个照，回头可以去看一下。我们为什么会想到用 AI 呢？

其实是 Open   AI 当时发布了一百万美元的 Saber Security   Grant，这个 Grant 你可以去申请，他可以以 Token 的形式给你，根据 API 调用 Token 的方式给你，或者给你现钱，然后你在探索用 AI 来做网络安全，解决网络安全的问题。

所以我们从那个时候开始还在探索，最后是全球首个基于大模型基于 AI 完成网络 AI 设计的一个平台，这是一个来龙去脉。

全生命周期我们刚才说了整个模型其实是可以在全生命周期去使用的，为什么呢？

因为我们中间会有 Bug 修复，会有升级，每次升级修复之后他的系统架构就变了，我们就要维护不同版本的系统架构，这个技术架构在中间怎么用呢？

比如说因为我们有系统架构就可以生成那些测试验证的测试用例，运营阶段的无风险评级、优先级这些全部都可以基于这些模型来做，这就基于底层的模型可以去支持其他的应用。

比如说合规，我里面有系统模型哪些数据，该加密的数据，该跨安全措施 Boundary 的时候，我们可以去做一些合规的分析。

基于这个还可以做安全测试，安全测试我们有一些硬件，通过我们的 AI 调度这些硬件完成安全测试，包括合规的测试，包括渗透的测试，这是我们测试的一些场景的覆盖。

攻防是我们的强项，所以我们的系统也发现了像特斯拉还有一些其他的国内企业一些客户的漏洞。这是我们去年发布的特斯拉的漏洞，也得到了广泛的关注。

在威胁情报方面，我们发现问题及时的响应，举个例子比如说比亚迪的系统，那么在海外被研究人员发现一个漏洞，可能造成隐私数据和个人数据的泄露。

这种情报拿到之后我们要有一个系统化的评估，快速的给出解决方案，但是一方面我们能够提供技术，但比亚迪是一直没有正面回复过的。

这是全生命周期的自动化的安全事件响应，后面可以实现把人解放出来出现一个漏洞的时候，我们快速有一个系统化的判断，然后该怎么去修内部有解决方案。

这其实就是贯穿全寿命周期的一个模型，从设计到测试最后安全运营之间发现问题再迭代回设计下一个版本的改进，这都是可以实现的。

最近我们的产品老是被抄袭，我也是因为这个事情认识的贾老师，我们刚才讲的这些都是我们公司的灵魂。

我们是一帮黑客，去解决安全问题，怎么解决这都是过去多年在实践中遇到问题才会想出的解决方案，抄袭的产品一定只是学了一小部分，没有灵魂。

坦白说本来想跟大家感叹一下中国创业，被友商卷、被客户卷的经历，但是其实到现在为止我还是看不清楚，但是我觉得我们会继续努力地前行，带着我们公司那些优秀的小伙伴，为网络物理时代的安全保驾护航。

谢谢大家！

AI 改变时代 , 她关注改变

请关注《汽车商业评论》兄弟媒体

加入轩辕同学

革新、链接、化反

成就新汽车人 !

点击阅读原文报名

▼