自動駕駛汽車加速發展：資安與企業 IT 挑戰與應對

自動駕駛技術在 2025 年已從實驗階段迅速進入商業化部署，企業 IT 團隊面臨的不僅是車載軟體更新的複雜度，更有跨網域資料流與雲端控制的安全威脅。近期多份行業調查指出，雲端連接的車輛成為「新型數位邊界」，任何一處弱點都可能被惡意利用，導致車輛失控或資料外洩（KPMG, 2025）。

1. 產業現況與法規挑戰

根據 Ultrontek 的報告，當前自動駕駛系統必須同時滿足功能安全（ISO 26262）與資料隱私（GDPR/個資法）兩大法規，且在全球市場的互通性要求更高（Ultrontek, 2025）。同時，Capgemini 的白皮書指出，車載資訊系統的「資料共享」仍是一大痛點，因為不同廠商間的資料格式與授權機制缺乏標準化，導致資料流經常被截獲與偽造（Capgemini, 2023）。

2. 資安威脅實況

自動駕駛車輛的遠端診斷與 OTA（Over-the-Air）更新功能，若未加強身份驗證與完整性驗證，將面臨攻擊者可利用的「遠端程式碼執行」風險。Engineering.org.cn 於 2023 年發表的研究指出，車載操作系統與雲端服務之間的通訊協定缺失 TLS 1.3 加密，易被 MITM 攻擊（Engineering.org.cn, 2023）。此外，ITHome 報導的 React2Shell 漏洞在 2025 年仍有數萬臺未修補，若被駭客利用於車載 Web 介面，將可直接取得車載系統管理權限（ITHome, 2025）。

3. 企業 IT 的應對策略

零信任架構：將車載設備視為「終端」，採用多因素身份驗證、最小權限原則與持續監控，減少內部與外部威脅的滲透機會（ITHome, 2025）。
安全的 OTA 流程：使用簽名驗證與增量加密，確保更新檔案完整性；同時在雲端使用安全元件（TPM/SGX）驗證車載設備身份（Engineering.org.cn, 2023）。
資料隔離與加密：將車載感測資料與企業雲端資料分開處理，並在傳輸與存儲階段使用 AES-256 或同等級別加密，避免敏感資訊外流（KPMG, 2025）。
自動化漏洞掃描：結合 CVE 資料庫與車載環境，定期掃描 Web 介面、API 及 OTA 伺服器，並將結果整合至 SIEM 平台，實時偵測異常行為（ITHome, 2025）。

4. MITRE ATT&CK 對應

T1078 – Valid Accounts（使用合法帳號進行持續存取）
T1190 – Exploit Public-Facing Application（利用車載 Web 介面漏洞）
T1204 – User Execution（社交工程誘導車載操作員執行惡意程式）
T1049 – System Information Discovery（偵測車載系統資訊）
T1105 – Ingress Tool Transfer（遠端傳輸惡意工具至車載設備）

5. 未來趨勢與建議

隨著 AI 驅動的車載決策模型逐漸普及，車輛將不再僅是被動的硬體平台，而是具備自我學習與調整功能的「智慧邊緣」設備（Ultrontek, 2025）。此變化將使傳統安全邊界模糊，企業 IT 必須從「應用層」擴展到「系統層」與「雲端層」的全方位防護。建議持續投資於安全開發生命週期（SDLC）與威脅情報共享，以對抗日益複雜的攻擊手法（KPMG, 2025）。