E·智能︱百万赏金极客找漏洞：怎样才是你信任的车机系统

车事经典

STORY

﹀

﹀

﹀

这个外国小伙儿在聚精会神地做什么？看他身旁那些电子仪器好专业啊！

还有在树立着“百度安全”四个大字之下的区域，有着一群人似乎是在参加什么网络游戏比赛。

这到底是什么所在？

笔者首先想说的是这的确很专业，因为这是一群来自全球的，热衷于网络创新与技术的极客们，而这个场所正是他们彼此交流技术的地方，它在全球也有个在互联网界响当当的名字——DEF CON。

也许中国用户并不了解DEF CON，它是由绰号为“Dark Tangent（黑暗切线）”的极客Jeff Moss创办，是世界上最知名的“极客大会”。DEF CON每年都会在美国内华达州的拉斯维加斯举行，它也是最古老的网络安全会议之一。

今年由百度安全与DEF CON进行战略合作，首次将这个被誉为安全界 “奥斯卡”的大会引入中国。来自包括中国在内的亚太地区的安全专家、安全爱好者都在此相聚，同台切磋，分享技术，也给无数东半球怀揣极客梦想的网络安全研究者提供更高层次的展示和发展空间。

不过你要是认为现在的安全还停留在传统的PC机网络安全上，那你就OUT了。随着物联网、车联网、工业互联网的兴起，网络安全的边界正在无限延展。大安全时代，更应该直面威胁，抽丝剥茧，有针对性的展开实战化对抗。就像上文提到的那个外国小伙儿，正在寻求一套车机系统的漏洞，进行网络攻击。

其实历届DEF CON所带来的议题与成果都曾准确反映了前沿安全问题，其影响力也覆盖了人民生活和行业发展各层面，其中车联网及其系统安全正是目前包括汽车电子业在内的行业重点问题。

我们先看看一个例子。2015年，传奇极客Charlie Miller和队友Chris Valasek成功入侵了一辆2014款Jeep，利用克莱斯勒Uconnect车载系统的漏洞重新刷入了带有病毒的固件并向CAN总线发送指令控制汽车，最终迫使菲亚特克莱斯勒集团在全球召回了140万辆车进行返厂升级。

这是全球首例因信息安全而召回的案例，它迫使汽车企业意识到，通过一台电脑或者手机远程入侵汽车并非天方夜谭。目前中国是全球销量最大、增速也排前列的汽车市场。在政府将人工智能列入国家战略计划，并且在汽车领域形成不断且深度的智能渗透之时，类似Jeep那样的安全问题对中国就更为急迫。

DEF CON来到中国正好是一个契机。借此机会，通过探讨网络信息安全攻防，我国政府端或市场端可以发现安全人才，为国家人工智能战略做好坚实的安全基础，为建设网络强国做好技术储备和智力支持。

而那个对于车机系统的攻击就是在市场端最好的案例。它是由博泰联合百度DuerOS、百度安全共同开启的安全漏洞赏金计划（下称“赏金计划”，悬赏金额高达百万元），以帮助博泰和百度DuerOS共同研发的新一代人工智能系统，发现和防范相关的安全漏洞，通过快速的系统迭代，打造更安全的解决方案。

博泰相关人士对笔者介绍，现在智能汽车的网络安全场景已多种多样，其中包括无线网络、电子控制单元、在线更新、加密、娱乐信息、网关和联网汽车的远程入侵，针对这些可能存在的安全漏洞，通过在DEF CON活动上的赏金计划，不仅可以与极客大咖们进行技术沟通，不断提升自己，更可以为汽车网络安全领域积累很好的经验与资源，以便分享与协作。

据了解，除了通过DEF CON活动的交流，博泰未来还将会专门成立一个专家组来进行安全管理工作，并且会和百度安全团队合作，基于云端与本地软件的安全机制和解决方案的可能性，联合发布并做出相应的安全产品嵌入在DuerOS软件与百度云产品之中。