2026年的一大亮點是新增了Level 3高功率充電設備的競賽類別。Alpitronic與開放充電聯盟(Open Charge Alliance)都是今年競賽的合作夥伴。Alpitronic將提供其高功率充電系統作為正式攻擊目標。Open Charge Alliance則提供OCPP合規性測試工具(OCPP Compliance Test Tool, OCTT)註一作為攻擊目標。隨著競賽範疇從車載系統擴展到充電網路和後端營運基礎設施，Pwn2Own Automotive正視電動車充電資安，並將其提升至與車輛安全和業務營運持續性同樣的重要性。

 

競賽類別	攻擊目標
Tesla	針對以Ryzen為基礎的Tesla Model 3/Y等效平台(bench top unit)。
車載資訊娛樂(IVI)系統	IVI是駭客的熱門攻擊目標，現場將提供四台IVI裝置作為攻擊目標：Sony XAV-9500ES、Alpine iLX-F511以及Kenwood DNR1007XR。
L3電動車充電器	本次新的競賽類別：Alpitronic HYC50
L2電動車充電器	本次競賽的攻擊面範圍包含行動應用程式、藍牙低功耗(BLE)連線，以及OCPP通訊協定等，這些介面皆可能被威脅行為者利用而對電動車造成危害。現場將提供八款電動車充電器供比賽使用：ChargePoint Home Flex (Model CPH50)、Phoenix Contact CHARX SEC-3150、Ford Connected Charge Station、Grizzl-E Smart Level 2、EMPORIA Pro Charger Level 2、Tesla Universal Wall Connector、 Autel MaxiCharger AC Elite Home 40A EV Charger、Ubiquiti Connect EV Station Pro。
開放充電聯盟	OCPP Compliance Test Tool (OCTT)
作業系統	參賽者必須試圖攻擊Automotive Grade Linux、Blackberry QNX及Android Automotive OS作業系統的漏洞。

表一：參加Pwn2Own Automotive 2026的獨立安全研究人員與團隊，將在六個類別中獲得並且累積積分

 

VicOne執行長鄭奕立表示：「快充設備不再只是插頭，它們已成為整個智慧移動的重要中樞。高功率充電系統一旦被成功入侵，可能會影響或癱瘓車隊、破壞充電網路，甚至影響車輛端的關鍵安全功能。Tesla和Alpitronic成為這次競賽的冠名贊助商，傳達了重要訊息，業界必須將充電系統視作網路安全邊界的一部分，而不是事後才顧慮的一個附屬項目，這一點至關重要。」

 

參加Pwn2Own Automotive 2026的獨立安全研究人員與團隊，將在六個類別中獲得並且累積積分；包含特斯拉、車載資訊娛樂系統(IVI)、Level 3電動車充電器、Level 2電動車充電器、開放充電聯盟/OCPP工具、以及作業系統(OS)。參賽者的競賽目標即是從攻擊目標中辨識出以往未知、未公開並且未通報過的漏洞。每個類別中，只有首位成功完成挑戰的參賽者有資格獲得獎金，挑戰的順序將在比賽前夕透過隨機抽籤決定。成功挑戰的參賽者將獲得積分和現金獎勵，最終累積最高積分的參賽者或團隊將被授予「Pwn大師」的榮譽稱號。

 

Pwn2Own Automotive漏洞發掘競賽是按趨勢科技Zero Day Initiative (ZDI)的框架來運作，意在對現實世界產生實質、可衡量的影響。該比賽為世界頂尖的研究人員提供受控且合法的途徑，讓他們能夠接觸到量產級車用技術的機會—從車載資訊娛樂系統(IVI)、作業系統(OS)、到商用電動車充電基礎設施—並鼓勵參賽專家們找出並披露此前從未通報過的零日漏洞。所有經過核實的漏洞都將透過ZDI負責任地披露給廠商，以利於他們在攻擊者利用這些漏洞或在黑市中交易之前完成修補。

 

趨勢科技威脅研究副總裁Brian Gorenc表示：「隨著車輛被軟體定義程度日益提高，每個介面都成為潛在攻擊面，包括車子插上的充電樁。這個針對連網車的競賽加速了真實世界的漏洞修補進程，協助車廠製造商(OEM)、相關供應商、和電動車充電基礎設施營運商在關鍵漏洞導致召回、停機或品牌商譽受損之前就能解決問題。」

 

Pwn2Own Automotive漏洞發掘競賽自2024年舉辦以來，已經發現了98個獨特的零日漏洞，直接強化了軟體定義車輛和電動車充電基礎設施的網路安全韌性。

 

主辦競賽的同時，VicOne亦參加了第18屆「Automotive World」展會，以展示車用資安解決方案。展位在SDV EXPO W12-6，歡迎蒞臨了解並與現場專家交流。

 

關於「Pwn2Own Automotive 2026汽車零日漏洞發掘競賽」

【日期與時間】2026 年 1 月 21 日至 23 日

【地點】Tokyo Big Sight(比賽場地在2026 全球汽車技術展覽會)

【網站】https://vicone.com/pwn2own-automotive

【報名截止日期】日本標準時間2026年1月15日下午5:00

參與者必須提交一份詳細說明漏洞測試程序和執行方法的白皮書以完成報名。參賽者也可選擇在線上遠端參與競賽。有關 Pwn2Own Automotive 及競賽規則的更多信息，請參考：https://www.zerodayinitiative.com/Pwn2OwnAuto2026Rules.html

 

註一：OCTT是一個用於驗證電動車充電設備(充電站、管理系統等)是否符合開放式充電點協定(OCPP)的規範的工具。