這個(gè)判斷，我在很多場(chǎng)合都曾說過。贊同者有之，反對(duì)者有之。時(shí)至今日，困惑只剩下一個(gè)：「隱私開關(guān)」在技術(shù)上是否可行？難度有多大？

12 月 18 日，由騰訊汽車主辦的第二屆全球汽車AI大會(huì)在北京舉行。全球著名白帽黑客、頂級(jí)安全專家 Charlie Miller 和 Chris Valasek 在小規(guī)模專訪中告訴我：

雖然他們目前工作的重心主要是放在汽車安全上面，也就是防止別人攻擊汽車。但廠商其實(shí)很容易就能實(shí)現(xiàn)隱私保護(hù)，譬如可以清除掉所有的出行痕跡。雖然這個(gè)功能目前還不存在。

今天，我們就來看看，在這兩位全球頂級(jí)黑客眼中，全球汽車在走向智能化之時(shí)的安全與隱私之困。

全球汽車黑客鼻祖

先簡(jiǎn)單介紹一下Miller與Valasek。熟悉互聯(lián)網(wǎng)或者黑客的，或許都清楚這兩個(gè)家伙在業(yè)內(nèi)到底有多知名。不清楚的，看上面這張圖。

簡(jiǎn)單說，Valasek 是美國歷史最長的黑客會(huì)議 SummerCon 的主席；至于 Miller，則可以說是「汽車黑客開山鼻祖」,一鍵黑掉一輛Jeep，也是第一個(gè)連續(xù)四年獲得Pwn2Own 冠軍的黑客,百秒侵入iPhone、MacBooK，號(hào)稱「地球上技術(shù)最熟練的黑客之一」

他們倆干過最有名的一件事，就是在2015年成功入侵了一輛2014款Jeep，利用克萊斯勒 Uconnect 車載系統(tǒng)的漏洞重新刷入了帶有病毒的固件并向 CAN 總線發(fā)送指令控制汽車，最終迫使菲亞特克萊斯勒集團(tuán)在全球召回了 140 萬輛車進(jìn)行返廠升級(jí)。

對(duì)了，在當(dāng)天的會(huì)議上，他們還拿出了那張照片。而在中國，他們往往被稱為「?jìng)髌婧诳汀?。恩，我拿到?Miller 的個(gè)人wechat ，個(gè)人成就+1 。

當(dāng)然，中國也不是沒有牛逼的。譬如，騰訊旗下的科恩實(shí)驗(yàn)室老大呂一平，就完全是和他們平等對(duì)話的。畢竟，Miller 也沒有入侵過特斯拉。干過這事的，是呂一平這個(gè)家伙，Miller 說。

全球的汽車安全問題嚴(yán)不嚴(yán)重？

作為久經(jīng)沙場(chǎng)的老將。

當(dāng)時(shí)的推特互動(dòng)

對(duì)的，Miller本人從美國安全局出來后，先后輾轉(zhuǎn)去了Twitter、Uber、滴滴。2017年7月，從滴滴離開后，Miller與Valasek又「勾搭」在一起，去了傳統(tǒng)車企通用旗下的自動(dòng)駕駛公司Cruise Automation，負(fù)責(zé)領(lǐng)導(dǎo)自動(dòng)駕駛汽車安全小組。

正因?yàn)橛羞@樣的經(jīng)歷，所以面對(duì)記者采訪時(shí)，他們也學(xué)會(huì)了「圓滑」。因而，在我們問及各大汽車廠牌，到底誰家的汽車安全做得比較好時(shí)，得到的回答如下。

「這個(gè)很難說，很難說誰做的更好。因?yàn)槲覀冡槍?duì)的車輛數(shù)量還是很小，取樣數(shù)量不夠大?！筂iller 與 Valasek 說。在他們看來，廠家能夠開放更多 CAN 總線協(xié)議內(nèi)容，更開放的溝通在未來會(huì)顯得格外重要，也能給廠商帶來更大的收益。

他們說，在他們工作中，80% 的時(shí)間其實(shí)都是用在「逆向」汽車文檔上，只有 20% 的時(shí)間花在發(fā)現(xiàn)安全問題上。但只要公開簡(jiǎn)單的文檔，就能解決這個(gè)問題。

從全球范圍來看，CAN 總線協(xié)議文檔依然是各家車廠的機(jī)密。很多自動(dòng)駕駛公司之所以使用林肯 MKZ 這款車來改裝。除了 MKZ 本身的線控系統(tǒng)便于改造之外，另一個(gè)很重要的原因是存在 DATASPEED 這樣一個(gè)與福特關(guān)系緊密的公司，能為自動(dòng)駕駛公司提供 ADAS KIT 工具包。

當(dāng)然，他們對(duì)現(xiàn)狀的不滿也是溢于言表的。

說了幾句好的，譬如，早期他們發(fā)現(xiàn)了汽車安全問題，很多車廠連個(gè)公開聯(lián)系方式都沒有，「連一個(gè) Email 都沒有」?，F(xiàn)在有了，算是一個(gè)進(jìn)步。而像特斯拉，F(xiàn)CA（菲亞特克萊斯勒汽車）等等，也開始如IT界一樣，為白帽黑客發(fā)現(xiàn)的安全漏洞付費(fèi)；其他公司也有一些獎(jiǎng)勵(lì)，譬如GM（通用汽車公司） 就不是貨幣，日產(chǎn)內(nèi)部也會(huì)舉辦黑客競(jìng)賽等等。

但是，整體來看，汽車安全的應(yīng)急響應(yīng)機(jī)制與流程，在汽車行業(yè)不是很流行。

最后一個(gè)細(xì)節(jié)問題，從軟件層面看，現(xiàn)有的汽車安全問題，45% 出在安全架構(gòu)本身有隱患，55% 出在 Code 質(zhì)量上。

出行公司與汽車公司誰做得更安全？

全球正在出現(xiàn)成為「下一家出行公司」的浪潮。

在美國，Waymo 的估值已經(jīng)突破 1760 億美金。正在美國鳳凰城開展全球首次 Robot Taxi 的商業(yè)化運(yùn)營，是一家標(biāo)準(zhǔn)的互聯(lián)網(wǎng)公司。而與此類同，中國的滴滴出行、曹操專車等出行公司，也正努力復(fù)現(xiàn) Waymo 的神話。

只是，就安全問題而言，軟件層面的打通也意味著汽車病毒也能像「電腦病毒」一樣全網(wǎng)擴(kuò)散。而與汽車公司相比，他們是更有能力應(yīng)對(duì)這樣的安全挑戰(zhàn)？還是因?yàn)闋砍兜接布栴}，反而會(huì)更難？

通用的SuperCruise

先后在滴滴出行與通用 Cruise 工作過的 Miller 說，從Uber滴滴到通用，他的工作方式當(dāng)然發(fā)生了改變。因?yàn)樵?uber，他們對(duì)汽車的生產(chǎn)制造方式、采用什么功能，影響力很小，意見不見得會(huì)被采納。而跟通用汽車合作，雙方之間的關(guān)系更加緊密。從安全角度，他希望在汽車功能上有什么設(shè)計(jì)，意見在前期都能得到充分溝通。

而呂一平也認(rèn)為，將安全能力放進(jìn)去，還是車企更有效。

此外，他們都認(rèn)為，就汽車安全而言，如果智能性能高度依賴外界的通訊（指的是自動(dòng)駕駛車聯(lián)網(wǎng)方案），收外界影響的程度就越深。因此，就高級(jí)輔助駕駛或者「自動(dòng)駕駛」而言，智能汽車越獨(dú)立越安全！

隱私開關(guān)該提上議事日程了

大概兩個(gè)月前，我在一篇文章中寫到（關(guān)注微信公眾號(hào)「電動(dòng)星球News」，輸入38，獲取文章）：

首先需要說明的是，在智能時(shí)代，隱私保護(hù)是個(gè)永恒的話題。

隱私保護(hù)的問題，牽扯到汽車廠商濫用，主動(dòng)探尋用戶個(gè)人隱私；也牽扯到黑客攻擊、廠商安全保障不利，導(dǎo)致個(gè)人隱私泄露。

總體而言，我反對(duì)拿手機(jī)隱私泄露成為常態(tài)來反駁汽車隱私不重要的論斷，認(rèn)為保護(hù)個(gè)體的隱私是文明的基本特征。

不能因?yàn)楝F(xiàn)在不文明，就說不文明是對(duì)的。雖然從運(yùn)行角度來看，開啟攝像頭、啟用語音、聯(lián)網(wǎng)等特性是很多智能功能實(shí)現(xiàn)必不可少的，但提供一個(gè)聯(lián)網(wǎng)機(jī)械關(guān)閉的機(jī)制或按鈕，讓用戶自己選擇，同樣也是正確與合理的。

而允許用戶選擇，本身就是種「權(quán)利的確認(rèn)」。這部分權(quán)利，原本就屬于個(gè)人。

在那一次的爭(zhēng)論過后，很欣喜看到有新造車公司，譬如小鵬汽車G3，開始明確表示會(huì)在系統(tǒng)內(nèi)提供隱私設(shè)置。

18 日當(dāng)天，Miller 與 Valasek 也談到了這個(gè)問題。他們說，其實(shí)目前沒有這樣的開關(guān)或者說可下載的殺毒軟件。從某種意義上來看，這是一個(gè)很奇怪的現(xiàn)象。汽車隱私的安全問題，現(xiàn)在只能通過額外付費(fèi)的方式去解決。

而在歐洲、美國，目前依靠的相關(guān)的隱私監(jiān)管政策，能防止個(gè)人隱私泄露。（這兩天，F(xiàn)aceBook 的小扎焦頭爛額，就是因?yàn)橛蟹梢?guī)定，不能利用用戶隱私賺錢。在歐洲，這個(gè)條款叫做《通用數(shù)據(jù)保護(hù)條例》GDPR，罰蘋果懲谷歌，非常給力）。

從技術(shù)上來看，汽車廠商完全有能力清楚掉用戶的所有出行痕跡，提供隱私選擇。

這一點(diǎn)，科恩實(shí)驗(yàn)室的呂老大直接說從安卓底層來看，完全可以在軟件層面就解決這個(gè)問題。一點(diǎn)都不難。

安全芯片有了就安全嗎？

李想的理想制造ONE發(fā)布會(huì)截圖

在最近的新車發(fā)布會(huì)上，有關(guān)汽車安全的問題，經(jīng)常會(huì)有廠商拿「安全芯片」來說事。好像有了「安全芯片」，汽車就安全了。

這個(gè)說法靠譜？

Miller 與 Valasek 說，現(xiàn)在自動(dòng)駕駛可能有兩種趨勢(shì)，一種是單個(gè)硬件支持多個(gè)系統(tǒng)；一種是多個(gè)芯片支持多個(gè)系統(tǒng)。從安全角度看，多個(gè)硬件可能更好一點(diǎn)。但這個(gè)成本的增加，相對(duì)于能力的增加是否劃算，則是所有自動(dòng)駕駛公司需要考慮的問題?！杆械淖詣?dòng)駕駛，都要反應(yīng)在成本的問題上?！?/p>

當(dāng)然，單個(gè)硬件支持多個(gè)系統(tǒng)，也可以把虛擬化安全、沙盒保護(hù)極致做得很好。但一旦失守，很容易從虛擬機(jī)打到物理層面，失去整個(gè)硬件的控制能力。因此，關(guān)鍵還在于整個(gè)安全架構(gòu)的設(shè)置。

1999年10月，多家IT巨頭聯(lián)合發(fā)起成立可信賴運(yùn)算平臺(tái)聯(lián)盟（Trusted Computing Platform Alliance，TCPA），初期加入者有康柏、HP 、IBM、Intel、微軟等。

至于「安全芯片」的說法，他們也不是很理解。

在美國體系中，類似的可能有兩種。一種是數(shù)據(jù)傳輸?shù)拿荑€，有個(gè)獨(dú)立芯片，用來保存私鑰信息；第二種，是在主芯片里采取信任區(qū)的架構(gòu)，用到TPM（Trusted Platform Module)。（TPM安全芯片指的是合TPM（可信賴平臺(tái)模塊）標(biāo)準(zhǔn)的安全芯片，簡(jiǎn)單理解就是芯片中一塊區(qū)域用來存放密鑰。）

從這個(gè)角度來看，有「安全芯片」或者采取了信任區(qū)架構(gòu)設(shè)計(jì)的芯片，遭遇攻擊的成本會(huì)高很多。破解不不僅僅是軟件層面，還牽扯到硬件層面。

在采訪的最后，三位大神說：

移動(dòng)和PC 時(shí)代，病毒是虛擬世界的問題；現(xiàn)在這個(gè)問題成為了現(xiàn)實(shí)世界的問題，車輛、人員、公共安全的問題。

智能汽車時(shí)代的所得與所失！