开了一年理想L8 Pro,车突然“待激活”——这不是科幻片,而是云南曲靖侯先生的真实经历。更让人头皮发麻的是,他的理想汽车App账号被一个陌生手机号强制改绑,车控权一夜之间落入他人之手。无独有偶,上海一位理想MEGA车主也遭遇了几乎一模一样的“账号被盗”事件。两起事件相隔仅两天,车主毫无交集,却都失去了对自己爱车的控制权。这到底是技术漏洞?还是黑客攻击?我作为长期关注智能电动车安全的“老司机”,今天必须和大家掰扯清楚这件事。
车钥匙“消失”了?不是遥控失灵,是账号被“接管”
我们先还原一下侯先生的经历:2024年4月购车,正常使用一年多,2025年6月28日早上打开理想App,发现账号变成“新注册”状态,4万多积分、2万多度电卡权限清零,车机重启后直接进入“待激活”模式。这就好比你家门锁没坏,但物业突然告诉你,房产证上的名字换了人,你现在进不了家门。
最离谱的是,交付中心后台查到,有人通过“账号找回”功能,用原手机号+身份证+人脸识别的方式,把车机账号强制换绑到了一个陌生号码上。理想官方给的解决方案也很“硬核”:要么走纠纷流程,账号能找回但所有权益清零;要么——你去联系那个“盗号者”谈谈?
我试想过,如果是我,我会怎么做?打电话?对方关机。报警?警方说没实际损失,不立案。这已经不是简单的账户安全问题,而是智能汽车时代“数字主权”的边界危机。
理想的“星环OS”真的固若金汤吗?
理想一直以“智能座舱天花板”自居。2025年3月,他们还高调发布了自研开源操作系统——理想星环OS,宣称内置“端到端数据加密”、高性能密码学算法、应用粒度权限管控,听起来像是给车机系统穿上了“数字防弹衣”。
可现实是,这套号称全球首个开源汽车实时操作系统的“安全堡垒”,居然被人用最基础的“账号找回”流程攻破了。这就像你家装了指纹锁、监控、报警器,结果小偷从你家门口的“忘记密码”按钮按了几下,就把门打开了。
理想给侯先生的解释是“车辆认证系统故障”,但没透露具体原因。是内部有“内鬼”?还是API接口暴露导致信息泄露?又或是黑客通过社会工程学获取了车主的身份证、手机号、人脸信息?目前暂无相关数据,需要进一步确认。
但从技术角度看,理想App的账号找回机制要求极高:原手机号、身份证号、实时人脸识别三者缺一不可。普通用户几乎不可能在完全不知情的情况下被“换绑”。除非——你的信息已经被完整打包出售,而攻击者掌握了全套验证手段。
智能汽车的“双刃剑”:越智能,越脆弱?
我们喜欢理想L8的语音助手“理想同学”,喜欢它的NOA导航辅助驾驶,喜欢它OTA升级带来的新功能。但这些便利的背后,是庞大的数据交互系统。每一次登录App、每一次远程控车、每一次人脸验证,都在产生数据痕迹。
智能汽车的本质,是一台“带轮子的超级手机”。它比手机更复杂,因为它还控制着物理世界的移动终端——你的车。一旦被远程控制,不只是隐私泄露,更是人身安全的威胁。
我试驾过理想L8 Pro,它的座舱体验确实惊艳:15.7英寸中控屏、HUD抬头显示、后排娱乐屏三屏联动,座椅加热通风按摩一应俱全。但当我用App远程启动空调、查看车辆位置时,我从未想过,有一天这个功能可能被陌生人用来“查看我的车停在哪”。
张翔教授说得对:“汽车软件功能越多越复杂,bug也就越多。”理想星环OS虽然开源,意味着更多人可以审查代码,但也意味着更多人可以研究漏洞。开源不等于绝对安全,反而可能成为“黑客的试验田”。
用户真实遭遇:从“被盗”到“追回”,理想做了什么?
好在事件后续有了进展。侯先生在提供身份证、本人合影后,理想通过后台强制找回了车控权,并追回了被消耗的积分。更关键的是,那9个被用积分购买的车载无线麦克风(价值499元/个),已被理想通过物流渠道强制追回。
这说明理想在后台有“超级权限”,能在紧急情况下干预用户账户和交易。这本是“安全兜底”的体现,但问题在于——为什么这种权限不能在“盗号”发生时自动触发,而非要等车主报警、投诉、提供材料后才启动?
理想的安全策略,似乎更偏向“事后补救”,而非“事前防御”。这就像你家被偷了,物业说“我们能帮你把东西要回来”,但没解释为什么小偷能进小区。
和谁比?理想L8 Pro的安全机制到底算不算强?
我们拿几款主流新能源SUV来对比一下:
蔚来ES8:采用“双因子认证+设备绑定”,远程操作需短信+App双重确认,2022年曾遭遇数据泄露,但未涉及车控权限。
小鹏G9:支持“生物识别+行为分析”,系统会学习车主操作习惯,异常登录会触发二次验证。
特斯拉Model Y:账号体系与SpaceX级加密技术同源,但曾因“短信劫持”导致车辆被远程锁定。
相比之下,理想的账号体系更依赖“身份信息+人脸”的静态验证,缺乏动态行为分析和异常登录预警机制。比如,一个从未登录过的设备突然在异地尝试换绑,系统是否该多问一句?
理想MEGA车主王先生在社交平台质疑:“安全协议沦为废纸。”这话有点重,但不无道理。当车企把“智能”当作卖点时,也必须把“安全”当作底线。
智能汽车数据安全:一场永不停歇的“持久战”
这不是理想一家的问题。2022年蔚来用户数据被售卖,2023年丰田215万日本用户数据泄露,2025年特斯拉车主信息被公开……据不完全统计,仅2023年国内就发生了超20起车企数据泄露事件(来源:风口财经)。
中国电动汽车百人会与腾讯云的报告指出:车企在车端安全上普遍达标,但在数据分类分级、加解密、防泄露等方面仍面临挑战。换句话说,车本身是安全的,但“车产生的数据”并不安全。
好消息是,监管在跟进。2021年《汽车数据安全管理若干规定》出台,同年《数据安全法》实施,2025年《人脸识别技术应用安全管理办法》发布,明确要求AI驾驶中的身份验证需本地化处理——意思是,你的人脸信息不该上传到云端,而应在车机本地完成比对。
这对理想等依赖云端AI的车企,是个不小的挑战。但长远看,这是必须走的路。
给各位车友的建议:智能时代,如何保护你的“数字车钥匙”?
启用双重验证:如果理想App支持短信+密码+生物识别多因素登录,一定要开。
定期检查绑定设备:像查银行卡一样,每月看看有没有陌生设备登录过你的账号。
谨慎授权第三方应用:不要随便扫码登录、授权App读取车辆信息。
物理钥匙随身带:虽然理想L8支持无钥匙进入,但机械钥匙是最后的“保命符”。
关注官方安全公告:理想这次没公布详细调查结果,但我们有权追问。
未来会怎样?智能汽车的安全防线在哪里?
理想星环OS的开源是个积极信号。开源意味着透明,透明才能建立信任。但如果安全机制本身存在设计缺陷,再透明也无济于事。
未来的智能汽车,或许需要像银行系统一样,建立“操作风险评级”:远程启动、远程解锁、远程OTA升级,这些高危操作,是否该设置“冷静期”或“二次审批”?
又或者,我们该重新思考:一辆车,到底需要多“智能”?
当便利与安全冲突时,我们愿意为安全牺牲多少便利?这个问题,没有标准答案。但作为消费者,我们有权知道:我的车,到底是谁在控制?
大家怎么看?如果你的车突然被陌生人“接管”,你会怎么办?欢迎在评论区聊聊你的想法。我会一一回复。
祝大家心想事成,身体健康,不劳而获,坐享其成。
全部评论 (0)