报告行业投资评级 * 报告未提供明确的行业投资评级 [1][2][3][4][5][7][8][9] 报告的核心观点 * 智能网联汽车云平台漏洞问题普遍且严重，行业整体软件安全水平极低，安全风险极高，亟需从战略、研发和协同防御层面进行系统性提升 [5][9][51] 漏洞总体状况分析 * 2025年对30家汽车厂商云平台的漏洞分析显示，28家存在漏洞，漏洞检出率高达93.3% [5][10] * 所有云平台共发现207个漏洞，其中超危和高危漏洞共计66个，占比31.9% [5][10] * 23家云平台存在超危或高危漏洞，占比高达76.7%，这些漏洞可导致远程解锁车辆、未授权驾驶、敏感信息泄露等严重危害 [5][11][12] * 207个漏洞中有135个因身份未检验、接口未鉴权等低级错误导致，占比高达65.2%，反映出行业整体软件安全水平极低 [5][14] * 19家厂商存在因低级错误导致的漏洞，占比63.3%，其中12家因此类错误导致超危或高危漏洞，占比40.0% [14] 主要漏洞类型分析 * 主要漏洞类型包括失效的访问控制、过度数据暴露、身份认证失效、会话管理失效、数字钥匙管理失效等 [15] * 18家厂商存在“失效的访问控制”漏洞，占比60.0% [16][17] * 13家厂商存在“身份认证失效”漏洞，占比43.3% [16][17] * 合并统计“失效的访问控制”和“身份认证失效”两类漏洞，共影响22家厂商，占比高达73.3% [17] * 15家厂商存在“过度数据暴露”漏洞，占比高达50.0% [16][31] * 9家厂商存在“数字钥匙管理失效”漏洞，占比30.0% [16][38] 主要漏洞危害分析 * 漏洞主要危害包括敏感信息泄露、远程解锁车辆、未授权驾驶车辆、冒用账户操作等 [43] * 22家厂商存在敏感信息泄露问题，占比高达73.3%，数据安全风险突出 [44][45] * 20家厂商的汽车可利用漏洞在未授权情况下解锁，占比高达66.7%，其中13家可进一步启动和驾驶车辆，占比43.3% [44][47] * 12家厂商存在用户账户被冒用进行未授权操作的风险，占比40.0% [44][49] 总结及建议 * 报告发现的问题揭示行业存在安全主体责任未落实、产品安全研发基础薄弱、车云协同防御链条断裂等体系化缺失 [51] * 建议将网络信息安全上升为“一把手工程”，设立专门管理机构与专项预算 [52][53][54] * 建议在产品研发全生命周期推行安全开发生命周期，强化软件供应链安全管控，建立产品漏洞响应机制 [55] * 建议深化车云协同，构建主动免疫体系，具体措施包括实施零信任架构、强化应用层深度防御、建立统一身份与密钥管理中心、落实数据分类分级保护、建立车端主动防御机制及建设车云协同安全运营平台 [56][57][58]