凌晨的高速公路,世界被黑暗包裹。车主只是想关掉头顶那盏稍显刺眼的阅读灯,随口对车机说道:“关闭所有阅读灯”。然而,车机听到的却是“关闭所有灯光”。瞬间,前大灯熄灭,视野被彻底剥夺。惊慌失措的车主对着系统大喊“打开大灯”,得到的却是温柔而致命的回应:“暂时还不会哟。”紧接着,是车辆撞击护栏的巨响。
这不是电影情节,这是2026年2月25日发生在领克Z20车主身上的真实事件。次日,领克销售副总经理穆军微博致歉,技术团队当天完成优化并通过OTA推送更新,核心修复措施简单直接:行驶状态下,语音控制大灯的功能被直接禁用。
24小时响应,姿态满分。但一个更根本的问题浮现出来:为什么如此底层的安全漏洞,会通过所有测试,最终出现在一款量产车上?有工程师在社交媒体上一针见血地指出:“在SOA(面向服务架构)架构下,传统域之间的安全隔离可能被服务化调用打破。但如果缺乏严格的权限控制和场景校验,就会出现‘语音关灯’这类风险。” 这绝非一次简单的语音识别失误,而是一次架构设计层面安全优先级失守的必然暴露。
要理解这次故障的根源,必须先看清汽车电子电气架构(E/E架构)近年的剧变。
传统汽车的电子系统,宛如一座座戒备森严的堡垒,遵循着“域控制”架构。车辆功能被划分为动力域、底盘域、车身域、座舱域等。关键之处在于,像座舱娱乐域(管理语音、屏幕)与车身安全域(控制车灯、门锁)之间,存在着严格的物理或逻辑隔离。这堵“安全墙”的核心目的,就是确保娱乐系统的任何故障、卡顿乃至死机,都绝不影响关乎行车安全的核心控制功能。这是一种“失效-安全”的底层逻辑:即便一个域失效,其他域,尤其是安全域,必须保持独立与健壮。
然而,智能化的浪潮催生了新范式——面向服务架构(SOA)。它的核心思想是将车辆功能拆解为一个个独立的、可复用、可被灵活调用的“服务”。每个服务拥有标准接口,通过服务中间件进行通信。这带来了革命性的便利:开发人员能以最小的变更应对多变需求;功能迭代更快;更重要的是,它能支撑起“软件定义汽车”的愿景,实现个性化场景联动,例如一句“我要休息”,车辆就能自动调节座椅、关闭车窗、调暗灯光、播放白噪音。
SOA架构让汽车功能像“搭积木”一样灵活,但很少有人追问:如果这些“积木”拼错了位置,或者被错误地调用,会发生什么?
领克Z20事件,正是“积木”拼错导致的惊险一幕。它清晰地展示了SOA架构在打破传统“安全墙”时,如何引入了全新的风险盲区。
在理想的SOA世界中,服务化调用固然便利,但必须伴随极其严格的权限管理与场景校验。以“语音控制车灯”为例,这至少涉及两个服务:语音识别服务(属座舱域)和车灯控制服务(属车身域)。当语音识别服务发起调用时,系统至少应进行多层校验:
从领克Z20事件倒推,其系统设计很可能缺失了上述大部分校验环节。语音指令被误识别后,服务调用一路绿灯,直接抵达执行端。更致命的是,系统没有为这类误操作设置任何“熔断”机制,甚至在用户试图紧急恢复时,语音服务竟表示“不会”——这暴露了服务间依赖与应急冗余设计的双重缺失。
这折射出一种危险的设计哲学偏移:在追逐开发效率、功能炫酷和“全场景语音控制”卖点的竞争中,安全原则从“默认隔离”降级成了“可选项”,甚至沦为“事后补救”。传统的“功能安全”思维,在SOA带来的灵活性面前,出现了妥协。
问题的普遍性,更增添了其严重性。据媒体测试报道,同属吉利集团旗下的极氪品牌车型,也存在类似的语音控制逻辑漏洞,可以通过“关闭所有灯光”的语音命令,在行驶状态下关闭大灯。
虽然极氪有销售人员测试后解释,若指令为“关闭车内灯光”则不会关闭大灯,但这恰恰印证了语义模糊带来的风险是共通的。领克与极氪车型曝出相似问题,强烈暗示这并非单一车型的偶然bug,而很可能是集团内部共享的智能化平台或SOA架构实施方案,在顶层设计上就存在疏漏。可能是在服务权限管理策略、安全校验规则,或是在服务接口的默认权限设置上,埋下了共性的安全隐患。
当一个设计缺陷通过集团化平台扩散到多个品牌、多款车型时,它所代表的就是系统性风险。
领克Z20的“失明”事件,最终以一次高效的OTA修复暂时画上句号。但留给整个智能汽车行业的,是一场必须进行的深层拷问。
首先,必须重新定义“汽车安全”的范畴。今天,安全已远不止是车身钢强度、气囊数量或主动刹车系统。它必须涵盖软件架构安全——服务的权限、调用的流程、失效的应对;以及网络安全——服务接口是否会成为被攻击的通道。SOA架构在带来动态、灵活通信能力的同时,也使得信息在车辆生态系统内的访问变得更透明、更简化,这本身就带来了新的安全课题。
其次,架构安全是智能化的基石,而非点缀。行业在拥抱SOA,致力于通过标准化接口和软硬解耦来实现功能快速迭代、延长汽车智能化生命周期时,必须将安全设计同步刻入架构的基因。这需要构建细粒度的服务权限管理体系,实施强化的场景感知与实时校验能力,并遵循“最小权限”和“失效-安全”的核心原则。
对于消费者而言,这次事件是一个醒目的提示:在关注车辆的智能功能有多“炫”的同时,更应探究其“智”背后的“安”全底色。对于行业,则亟需建立比现在更严格、更细致的面向SOA架构的安全设计与测试标准。
领克Z20事件就像一面镜子,映照出SOA架构“便利”表象下可能隐藏的“陷阱”。它迫使我们去思考:在追求功能融合与交互便利的狂热中,我们是否低估了架构层面一旦失守所带来的毁灭性风险?当你的车听得懂你每一句话时,你是否想过,它能否分辨哪一句玩笑可能致命?
在智能化不可逆转的洪流中,物理按键或许显得笨拙而过时,但在某个漆黑、慌乱、系统失灵的致命时刻,那个实实在在、一按即亮的开关,可能就是生命与深渊之间,唯一可靠的光。
欢迎在评论区分享你的看法。
全部评论 (0)