余承东拍桌:93%车企存安全漏洞,你的车在‘裸奔’?

隐私漏洞不只是华为的事

事情是这样的。

2026年7月8日,上海一位问界M8车主发现了一个让他后背发凉的问题:他在车辆APP里明明已经手动关闭了授权账号的位置信息权限,但被授权的人——他妻子——仍然可以通过泊车代驾辅助功能,看到车辆的实时定位。

说白了,他关了个寂寞。

更火上浇油的是,这位车主向门店反馈问题时,工作人员直接在车主服务群里艾特了他的妻子进行沟通。车主原本就是不想让配偶看到定位才去关权限的,这下倒好,车企直接帮他”捅破了窗户纸”。车主当场炸了,提出要么补偿延保、修复漏洞,要么就退车。

这件事最终捅到了华为内部。一份疑似华为内部工作群的聊天记录在网络上流传开来。记录显示,华为常务董事、终端BG董事长余承东在群里直接拍了桌子:

“这种错误太愚蠢了,我们对于做出这种错误Bug的人,我们应该给予处罚处理!”

当得知内部方案竟然计划等到9月才通过APP版本升级统一修复时,余承东措辞更加激烈:

“必须立即修复!哪个家伙说要等9月份修复的,可以把它给淘汰处理了!!”

紧接着又是一句:”不吃不喝不睡觉,都得立即把问题解决,立即、马上!!”

虽然也有网友质疑,华为内部统一办公工具是Welink,这份聊天截图的真实性存疑。但说实话,比起截图是不是真的,更值得关注的问题是:那个漏洞本身是真实存在的,而且最初的计划确实是等到9月才修。

如果没有余承东这一顿拍桌子,这个漏洞会不会就这么躺在”9月版本”的工单里,让车主们继续裸奔三个月?

余承东拍桌:93%车企存安全漏洞,你的车在‘裸奔’?-有驾
数据触目惊心

问界M8的个案并非孤例。事实上,整个智能汽车行业在隐私保护这件事上,表现远没有表面上那么光鲜。

2026年1月15日,奇安信代码安全实验室发布了一份《智能网联汽车云平台漏洞分析报告》,对2025年度国内30家主流汽车厂商的云平台进行了全面分析。结果相当扎眼:93.3%的厂商云平台存在安全漏洞,其中76.7%存在超危或高危级别漏洞。 总共发现了207个漏洞。

更令人不安的是,这些漏洞中有135个——占比65.2%——是由”身份未检验”“接口未鉴权”这类软件开发中的低级错误引发的。说白了,就是程序员在写代码的时候,压根没把安全当回事。超七成厂商存在身份认证和访问控制类漏洞,其中60%的厂商存在访问控制失效漏洞,攻击者可以借此实现未经授权的远程访问。

这些漏洞的危害到底有多大?报告说得很清楚:22家厂商的云平台存在用户个人信息与车辆敏感数据泄露风险;20家厂商的车辆可通过漏洞实现远程或近场未授权解锁,其中13家厂商的车辆在解锁后可以直接启动驾驶;12家厂商的用户账户可能被冒用,攻击者可以盗用账户余额、篡改车辆授权权限、泄露出行轨迹。

换句话说,你的车,可能早就是别人眼里的”透明车”了。

其他品牌也逃不过。2022年,蔚来汽车内部网络遭黑客入侵,用户基本信息被窃取,黑客直接勒索比特币。2025年,湖南一位小鹏MONA车主发现车辆疑似被人复制了蓝牙信息解锁,车内财物被盗。同年,云南和上海两地有理想车主遭遇”账号召回”功能被滥用,陌生人通过换绑手机号直接获取了车辆控制权,连车主的积分和电卡权益都被盗刷。更早之前,特斯拉车内摄像头被黑客攻破,车内画面被公然发布在社交媒体上。

这不是某一家车企的”技术失误”,而是一个行业的系统性问题。 一家车企出了漏洞,可能是工程师手滑;三十家车企有二十八家都有漏洞,那就不是”手滑”能解释的了。

为什么车企总在”补丁”

问题出在哪?

往浅了说,是智能汽车软件迭代太快,隐私测试被压缩了。一辆智能汽车从立项到量产,周期可能只有两三年,而软件版本迭代更是按周计算。在这种节奏下,安全测试往往成了”能过就行”的环节。一个功能能不能上线,看的是产品经理的KPI,而不是安全工程师的测试报告。

往深了说,是车企的资源配置逻辑出了问题。续航里程、智能驾驶、座舱体验——这些是能写在PPT上、能在发布会上大声喊出来的卖点,是消费者愿意掏钱的理由。但隐私保护呢?它不是一个”卖点”,你很难在广告里说”我们的车不会泄露你的位置”来吸引客户。它更像一个”买了之后最好别出问题”的隐形需求。车企自然更愿意把资源砸在前者身上。

一位工程师私下吐槽过一句话,虽然不一定是原话,但意思很到位:”隐私漏洞只要不被曝光,就排在下个季度工单里。” 优先级低、曝光度低、短期内不会影响销量——所以它永远在排队。

再往大了说,是法规滞后、违规成本低。虽然2025年已经正式实施了《汽车数据安全管理若干规定(试行)》,要求车企遵循”最小必要”原则收集数据,重要数据必须在境内存储和处理。但”最小必要”这个标准本身就有很大的解释空间,而违规的处罚力度,相比车企动辄几十亿的营收,更像是”挠痒痒”。

回头看看问界M8这次的事件:一个明明已经影响到用户体验的隐私漏洞,内部的修复方案竟然是”等两个月,放到9月版本里统一修”。这背后反映出的,不是技术能力不足,而是安全意识的优先级——在车企内部的排序里,隐私保护从来没有排到过前三名。

车主如何保护自己
余承东拍桌:93%车企存安全漏洞,你的车在‘裸奔’?-有驾

在行业真正把隐私保护当成”出厂标配”而不是”售后补丁”之前,作为车主,能做些什么?

其实不需要多高深的技术,几个简单的习惯就能大幅降低风险:

关掉不必要的权限。 车机上的麦克风、摄像头、位置权限,不是所有应用都需要。只给官方核心功能开放权限,其他的能关就关。

定期检查授权账号。 你的车绑定了多少个”授权账号”?有没有自己都不记得的?定期清理一下,别让”方便”变成”隐患”。

及时更新OTA。 很多车主觉得OTA升级麻烦,能拖就拖。但OTA推送里往往包含了安全补丁,你拖一天,漏洞就多存在一天。

维修保养选官方渠道。 非正规的维修机构可能通过车辆的诊断接口窃取数据,而这一环节的安全防护往往是最薄弱的。

智能汽车的未来,不该是”裸奔”的智能。当一辆车比你自己还了解你去过哪里、见过谁、说过什么话的时候,它应该成为你最可靠的伙伴,而不是一个随时可能把秘密说出去的”叛徒”。

0
全部评论 (0)
暂无评论