近日，2025年Pwn2Own汽车黑客竞赛中，特斯拉的Wall Connector电动汽车充电桩被成功攻破两次，其他多个品牌的充电桩和车载信息娱乐系统也未能幸免。这一事件再次凸显了汽车充电桩作为物联网设备所面临的严峻网络安全挑战。

随着电动汽车的普及，充电桩已成为黑客攻击的新目标。攻击者可以通过多种手段利用充电桩的漏洞，例如通过API授权漏洞劫持账户、推送恶意固件更新，甚至利用协议漏洞发动DDoS攻击。此外，充电桩的通信协议（如OCPP）也存在漏洞，可能被用于窃取敏感信息或发起攻击。

Akamai大中华区解决方案技术经理马俊

Akamai资深解决方案技术经理马俊表示：“IoT设备特别容易受到硬件和软件漏洞的影响，而许多传统的OT系统在设计时并未考虑到联网的安全需求。在这种情况下，在网络访问控制中应用‘零信任’模型对如此关键的充电网络来说尤为重要。它能够确保只有经过验证和授权的设备才能访问网络资源，同时实现对所有连接OT设备的实时监控与识别。通过实施细粒度的分段控制，我们不仅可以有效限制设备之间的通信，还能持续监测网络流量，从而保护关键基础设施并满足合规性要求。这样能够显著提升OT设备的网络安全性，降低了潜在风险，并确保了业务的连续性。”

不仅是EV充电站，整个汽车行业的API安全问题同样令人担忧。随着联网汽车和软件定义系统的快速发展，API已成为推动汽车行业创新的核心动力。然而，这种技术进步也伴随着巨大的安全风险。2023年，研究人员发现16家主要汽车制造商的API漏洞，攻击者可以通过这些漏洞接管用户账户、追踪车辆位置，甚至发送恶意指令。2024年，一家韩国汽车制造商则因API身份验证缺陷暴露了数百万辆汽车，允许攻击者通过车牌信息远程解锁车门、启动引擎并追踪车辆。

Akamai亚太地区和日本安全技术总监Reuben Koh

Akamai亚太地区和日本安全技术总监Reuben Koh表示：“这些事件不仅揭示了API安全的薄弱环节，还暴露了开发阶段测试不足、身份验证机制薄弱以及API管理不完善等系统性问题。随着API在汽车行业中的应用不断扩大，其安全性已经从技术问题转变为关系到用户隐私、生命安全和企业品牌声誉的核心挑战。”

Reuben强调：“与此同时，我们也看到了API在推动行业创新中的关键作用。例如，它为自动驾驶汽车的自主AI系统提供支持，帮助其实现感知、认知、学习和行动功能。然而，正是这种创新的快速发展扩大了攻击面，使得安全性的重要性前所未有地提高。因此，汽车制造商必须立即行动起来，系统性地提升API的开发、测试和管理水平，确保技术进步不会以牺牲用户安全为代价。只有在创新与安全之间找到平衡，才能既保障用户安全，又推动行业的可持续发展。”

Akamai的《亚太地区及日本概况》报告显示，亚太地区在2023年是制造业领域API攻击的主要目标，占全年API攻击总量的近三分之一（31.2%）。研究人员还发现，2023年有近20家汽车制造商和服务提供商存在API安全漏洞，这些漏洞使黑客能够远程解锁和启动车辆、追踪车辆位置，并窃取车主的个人信息。此外，一些EV充电站平台被发现存在API授权问题，使得账户被接管并远程控制所有充电站。黑客可以劫持用户账户、中断充电服务，甚至将充电站编程为“后门”，从而攻破用户的家庭网络。

API安全对于EV充电站和整个汽车行业至关重要。保护API安全需要多方面的措施，Reuben建议企业可以重点关注以下三个关键领域：可见性，确保全面了解所有API，包括其用途、端点和潜在风险，定期审计和监控API活动，避免将遗留或未监控的接口暴露给公众；漏洞管理，遵循安全开发实践，定期进行漏洞扫描和代码审查，并及时修补已知漏洞，最小化攻击面是防止漏洞被利用的关键；业务逻辑保护，建立明确的业务逻辑基线，监控异常行为，并防止针对业务逻辑的复杂攻击，以保护关键数据和功能。

马俊表示：“通过收购Noname，Akamai开发了一套全面的API安全解决方案，使企业能够全面了解API活动，覆盖外部API、内部API、第三方合作伙伴API以及调用第三方服务的API。此外，企业在代码上线前应加强‘主动测试’，特别是针对新发布的API。Akamai能够帮助企业通过实时识别和阻止异常行为，提供自动化和‘左移’安全测试，自动运行150多项可模拟恶意流量的动态测试，包括针对OWASP十大API安全风险的测试，有效减轻API滥用和风险，帮助企业提升API的安全态势。这一解决方案不仅提升了API的安全性和可靠性，还支持电子商务、金融、游戏等多个行业的应用。”

为应对充电桩网络安全威胁，相关行业标准和法规正在逐步完善。2023年10月，国家能源局批准发布了《电动汽车充电设施及运营平台信息安全技术规范》（NB/T 11302—2023），明确了充电桩运营平台的网络安全防护架构，提出了涵盖操作系统、基础软件、应用软件和网络安全设备的技术要求。该标准的实施旨在凝聚行业共识，推动电动汽车充电设施的网络安全发展。

尽管行业标准和技术手段在不断进步，但充电桩网络安全仍面临诸多挑战。随着新能源汽车的快速发展，充电桩的网络安全问题不仅关系到用户隐私和财产安全，还可能影响电网的稳定运行。因此，政府、企业和用户需要共同努力，加强监管、提升技术、提高安全意识，以确保电动汽车充电网络的安全和可持续发展。