2025年11月,博世旗下一家二级供应商的ERP系统被勒索软件攻破。结果呢?不是这一家停产,是三家主机厂的生产线同步停摆,因为这家供应商提供的ESP控制单元恰好同时供货给三家整车厂。

一共停产6天,媒体估算损失超过1.2亿欧元。

这件事把汽车供应链安全的一个残酷现实摆到了台面上:你只守好自己的门没用,你的供应商可能是开着门的。 而在智能网联汽车时代,供应链安全的维度远比传统IT要复杂——不是"供应商的IT系统被黑导致停产"这一种剧本。


一、汽车供应链安全的四个维度

传统供应链安全讲的是交付连续性。智能汽车的供应链安全,多了三个新维度:

在这里插入图片描述

维度一:代码供应链安全

一辆智能汽车大约包含 1亿行代码,其中超过 70% 来自供应商。Tier-1 的域控制器固件、Tier-2 的芯片驱动、Tier-3 的开源协议栈——每一层都可能成为攻击入口。

2024年某新能源车企做了一次供应链安全审计,结果让所有人冷汗直冒:一家域控制器供应商的固件构建脚本里,curl 的二进制文件来自一个硬编码在 Dockerfile 里的 IP 地址,没有任何哈希校验。换句话说,那个IP后面的人如果换了文件,这辆车的域控固件就会带着后门出厂。

SBOM(软件物料清单)不是可选项,是准生证。 GB 44495-2024 已经明确要求整车厂对软件供应链有完整的成分分析和漏洞管理能力。但我们实际看到的现状是:大部分Tier-1给整车厂的SBOM,到了Tier-2那里就断了。

维度二:密钥供应链安全

在这里插入图片描述

这是最容易被忽略的一个维度。

一辆车的密钥体系有多复杂?OTA升级需要签名密钥,ECU安全启动需要验证密钥,车云通信需要TLS证书,V2X消息需要假名证书。这些密钥不是凭空产生的——它们从密钥管理系统生成,经过安全通道分发到产线,再由产线注入工具烧录到ECU的HSM里。

这里面每多一个环节,就多一个风险点:

密钥生成 → 密钥存储 → 产线分发 → 烧录注入 → ECU运行
   ↑潜在风险  ↑潜在风险   ↑潜在风险  ↑潜在风险

我们见过一家Tier-1的案例:他们用某国外KMS产品管理ECU密钥,密钥从云端下发到产线工具时走的是HTTP明文(不是HTTPS,是HTTP),理由居然是"产线网络是独立VLAN,不需要加密"。

这个逻辑的问题在于:产线网络独立不等于安全。一个U盘、一个承包商笔记本、一个没打补丁的工控机,都可以成为跳板。

安当KSP在这类场景中的价值,是让密钥从生成到销毁的整个链路都在硬件安全边界内完成——密钥明文不出HSM,产线的烧录工具只拿到一次性授权令牌,用完即失效。

维度三:数据供应链安全

智能汽车从研发、测试到运营,到处是跨组织的数据流动:

  • 路测数据从外包测试公司流向主机厂研发中心
  • 用户驾驶数据从TSP平台流向AI训练集群
  • 诊断数据从4S店流向质量回溯系统
  • 电池健康数据从换电站流向电池供应商

每一条数据链路都可能涉及不同法人实体,数据在不同主体间流转时,访问权限和加密策略是否保持一致?大部分情况下答案是否定的。

维度四:物理供应链安全

从芯片设计、晶圆制造、封装测试到模组组装,整个硬件供应链中的任何环节都可能被植入恶意硬件或固件后门。这个维度在半导体供应链安全的讨论中已经相对成熟,但在汽车行业普遍缺乏系统性评估。


二、四步补齐供应链安全

在这里插入图片描述

这听起来是个大工程,但不需要一步到位。从实践角度,我建议按以下顺序推进:

第一步:建立SBOM基线(2-3个月)

不是把Excel表格改个名就叫SBOM。最低标准是:每个ECU的完整软件成分清单 + 每个成分的版本号 + 每个版本对应的已知CVE映射。做不到全量没关系,先从域控制器和网关这类高权限节点开始。

第二步:供应链密钥隔离(2-4个月)

核心原则:即使供应商被攻破,也不会导致车辆密钥泄露。

具体做法:

  • 整车厂独立持有根密钥,供应商拿到的只是派生密钥
  • 供应商产线工具不接触密钥明文,只使用一次性令牌
  • 密钥分发使用独立的安全通道(非供应商内部网络)

第三步:跨组织数据安全通道(3-6个月)

核心原则:数据在跨组织流动时,安全策略跟在数据身上,不依附于网络边界。

至少做到:

  • 所有跨组织数据链路强制加密(SM4或AES-256)
  • 接收端数据用途必须在合同中明确约定,并保留审计日志
  • 如果法规要求数据不出境但研发团队在国外,考虑"境内脱敏→密文出境→境外解锁"的架构

第四步:供应链安全审计常态化(持续)

把供应链安全审计嵌入供应商准入和定期评估流程。审计内容至少包括:SBOM完整性、密钥管理规范、数据传输链路安全、第三方库漏洞响应SLA。


三、一个实操建议:从"最薄弱环节"开始

全面铺开供应链安全建设不现实。我的建议是:先找到安全等级最高的ECU(如域控制器、网关、智驾域控),沿着它的供应链逐层往下追溯,直到发现第一个"断点"——可能是SBOM的终点、可能是密钥分发的明文通道、可能是数据交换的未加密链路。

把那个断点补上,就是第一块多米诺骨牌。

然后再做第二个。

供应链安全不是做完的,是一层层推进的。关键是开始推第一层。


你们团队在做供应链安全评估时,最头疼的是哪一块?是供应商不愿意配合做安全审计,还是内部不同部门的安全标准不统一?评论区交流一下。

Logo

智能硬件社区聚焦AI智能硬件技术生态,汇聚嵌入式AI、物联网硬件开发者,打造交流分享平台,同步全国赛事资讯、开展 OPC 核心人才招募,助力技术落地与开发者成长。

更多推荐