Pwn2Own Automotive 2026黑客大赛：研究人员攻破特斯拉汽车娱乐系统，获3.5万美元奖金

IT之家 1 月 21 日消息，据外媒 Bleeping Computer 报道，在今天举行的 Pwn2Own Automotive 2026 汽车安全黑客大赛中，安全研究人员成功攻破特斯拉汽车的车载信息娱乐系统。

据介绍，Synacktiv 团队在“基于 USB 的攻击”项目中，通过将一个信息泄露漏洞与一个越界写入漏洞进行组合，成功获取特斯拉车载信息娱乐系统的 root 权限，获得了 3.5 万美元（IT之家注：现汇率约合 24.4 万元人民币）奖金。该团队还通过串联三个漏洞，拿下索尼 XAV-9500ES 数字媒体接收器的 root 级代码执行权限，额外获得 2 万美元（现汇率约合 13.9 万元人民币）奖励。

排行第二的 Fuzzware.io 团队则通过攻破 Alpitronic HYC50 充电桩、Autel 充电器以及 Kenwood DNR1007XR 车载导航接收器，合计获得 11.8 万美元（现汇率约合 82.3 万元人民币）奖金。

此外，在本次大赛中，DDOS 团队成功入侵了 ChargePoint Home Flex、Autel MaxiCharger 以及 Grizzl-E Smart 40A 车辆充电桩，合计拿下 7.25 万美元（现汇率约合 50.6 万元人民币）奖金、PetoWorks 团队利用三个零日漏洞组合，成功取得 Phoenix Contact CHARX SEC-3150 充电控制器的 root 权限，获得 5 万美元（现汇率约合 34.9 万元人民币）奖励。

IT之家获悉，Pwn2Own Automotive 黑客大赛专注于汽车相关技术安全，根据赛事规则，在零日漏洞被成功利用并提交后，相关厂商将获得 90 天的修复窗口期，用于开发并发布安全补丁。在此之后，Trend Micro 旗下的 Zero Day Initiative（ZDI）才会对漏洞细节进行公开披露。

回顾往届赛事，Pwn2Own Automotive 2025 共发现并利用了 49 个零日漏洞，黑客获得 88.625 万美元奖金；而首届比赛 Pwn2Own Automotive 2024 中，研究人员同样发现了 49 个零日漏洞，斩获高达 132.375 万美元奖金总额。