文章总结： Pwn2OwnAutomotive2026大赛首日，研究员利用37个零日漏洞攻破特斯拉信息娱乐系统及多款EV充电器，获51.65万美元奖金。Synacktiv团队通过越界写入漏洞获取特斯拉Root权限。大赛聚焦车载系统安全，漏洞由ZDI披露，厂商有90天修复期。 综合评分： 80 文章分类： 车联网安全,漏洞分析,渗透测试,漏洞POC,安全大事件

特斯拉遭黑客攻击，37个零日漏洞在Pwn2Own Automotive 2026大会上被演示。

Rhinoer Rhinoer

犀牛安全

2026年1月23日 00:00 北京

安全研究人员在 Pwn2Own Automotive 2026 竞赛的第一天就攻破了特斯拉信息娱乐系统，并利用 37 个零日漏洞赢得了 516,500 美元。

Synacktiv 团队成功利用信息泄露漏洞和越界写入漏洞，获取了特斯拉信息娱乐系统的 root 权限，赢得了USB 攻击类别的 35,000 美元奖金。他们还利用三个漏洞，获得了索尼 XAV-9500ES 数字媒体接收器的 root 代码执行权限，并因此获得了额外的 20,000 美元奖金。

Fuzzware.io 团队通过入侵 Alpitronic HYC50 充电站、Autel 充电器和 Kenwood DNR1007XR 导航接收器，获得了 118,000 美元的奖金；而 PetoWorks 团队则通过利用三个零日漏洞，获得了 Phoenix Contact CHARX SEC-3150 充电控制器的 root 权限，获得了 50,000 美元的奖金。

DDOS 团队还通过入侵 ChargePoint Home Flex、Autel MaxiCharger 和 Grizzl-E Smart 40A 车辆充电站获得了 72,500 美元。

在 Pwn2Own 的第二天，Grizzl-E Smart 40A 将成为四支队伍的攻击目标，Autel MaxiCharger 将成为三次攻击目标，而两支队伍将尝试破解 ChargePoint Home Flex，每次成功破解都将为黑客带来 50,000 美元的奖金。

Team Fuzzware.io 还将尝试破解 Phoenix Contact CHARX SEC-3150 车载充电器，以获得 70,000 美元的现金奖励。

在 Pwn2Own 竞赛期间零日漏洞被利用和报告后，TrendMicro 的零日漏洞计划将公开披露这些漏洞，在此之前，供应商有 90 天的时间来开发和发布安全修复程序。

Pwn2Own Automotive 2026 黑客大赛专注于汽车技术，将于本周在日本东京举行的Automotive World汽车大会期间举行，时间为 1 月 21 日至 1 月 23 日。

在这场黑客竞赛中，安全研究人员将以完全打过补丁的车载信息娱乐系统 (IVI)、电动汽车 (EV) 充电器和汽车操作系统（例如，汽车级 Linux）为目标。

今年汽车比赛的完整赛程安排请点击此处查看，而第一天的完整赛程安排和每项挑战的结果请点击此处查看。

Pwn2Own Automotive 2025 竞赛落下帷幕，黑客们利用 49 个零日漏洞，最终获得了 886,250 美元的奖金。

在 2024 年举行的首届 Pwn2Own Automotive 大赛中，他们展示了多个电动汽车系统中的 49 个零日漏洞，并两次入侵特斯拉，获得了 1,323,750 美元的现金奖励。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《特斯拉遭黑客攻击，37个零日漏洞在Pwn2Own Automotive 2026大会上被演示。》