發布時間：2022-11-24 所屬分類：其他雜談瀏覽：248

月光博客：在網絡安全角度看特斯拉汽車安全問題

WordPress的負載優化 Shopify獨立站如何快速選品？

原標題：安全架構師站在網絡安全角度看智能汽車的安全問題

前言：先對廣東潮州發生的2死多傷智能汽車失控事故致以默哀10分鐘。

為啥寫這篇文章，是因為看了很多網絡評論的分析，都僅僅停留在剎車是否踩下等的初淺問題的討論上。

作為某“大型”南極動物的工廠出來的前“某天網”安全架構師和項目主導人，我覺得有必要通過在網絡安全角度，深入分析一下導致事故的各種因素，從而得出有利于對公眾安全、長期認真真正負責任的分析。

首先我們知道，復雜系統一定是不可靠的，不管是誰做的。

這里先拿曾經的高鐵動車事故來說：復雜的電信號和網絡系統，總會因為人為的非人為的原因，導致系統層面的失控或者事故發生。

簡單來說：對于安全而言，所有系統都有漏洞。專業點來說：圖靈完備的軟件系統無法證明絕對正確。而智能汽車、智能電氣系統，一定是有圖靈完備的軟件系統的：包含了spaceX這樣的宇航員用的智能系統——曾經就發生過因為一個計算符號寫少了等于號，所以價值幾十億美金的航天飛機失事，7個宇航員殉職。對沒錯，發生在美國。

溫州動車事故發生后，作為沒拿上崗許可證的程序員，內心很是惶恐。據說原因是某些沒拿證的程序員開發的系統有BUG（程序錯誤）導致的信號系統失控。

當然，現在不用什么據說不據說，據說一般都是“謠言”。這里想說的是在各種事故發生了，總會有各種言論出來做為分析，不一定正確，但代表了某些人的看法。

某B音的飛機因傳感器問題導致的軟件系統失控，這里飛機駕駛員的權限還不如軟件系統。然后大家都知道了，死了不少人，某型號的飛機也被禁飛了很久。

所以，我覺得：如果軟件很重要，為什么不更注意安全多一些。在網絡安全、軟件安全、系統安全上投入多一些，總會帶來更多的可靠性和品牌贊譽。

舉了這么多例子，說了這么多事故的故事。那么我們如何來分析這次智能汽車導致的事故的原因呢？

智能系統一定是復雜系統，甚至是分布式的、網絡的龐大系統，這是肯定的、毫無疑問的。

所以出了事故，總會有小道消息說，該智能汽車的官方人員從后臺數據顯示：沒有任何殺車紀錄，都是電門踩到底，潮州的事故如此，江浙前幾天發生的智能汽車失控靠著摩擦路邊護欄才能停下來，也是如此。

我想說的是：服務器的后臺數據不一定可信，不可信的原因有很多種。

1、并不是說官方的程序員不可信

2、并不是說官方的網絡服務程序不可信

3、并不是說官方的智能汽車的智能操作系統、自動駕駛系統不可信

4、并不是說官方的智能系統一定會黑客攻擊了

5、并不是說官方的智能系統一定被某些信號干擾了（說的就是傳感器、非傳感器信號）

6、并不是說官方的智能汽車的剎車系統不夠智能

7、并不是說機械裝置就一定可信（傳感器也是機械系統）

8、并不是說智能汽車沒有類似飛機黑匣子一樣的黑科技

我想說的是：還是得有類似“黑匣子”的黑科技可能才更可信。

所以，某B音飛機失事，查原因不全得靠黑匣子嗎。

后臺數據不可信嗎？不一定不可信，只是不能全信。因為后臺數據是依靠不安全的無線網絡信道得來的。

原因很多，比如說俄烏紛爭，據說某朗的無人機技術，是復刻自美國。原因是：美國軍方偵察用無人機的無線電信號被干擾，然后被某朗軍方完整捕獲了。

某拉的智能汽車，雖然安全級別并不一定低于美國軍方，但是也會被、也能被電信號干擾，這是絕對的以及肯定的。所以360董事長曾當面跟某拉創始人說過：你的智能汽車系統不安全，我方程序員已經黑進去了。好吧：黑進去了。然后某拉創始人就再也不理360董事長了?。?！

他們間的矛盾是小事。

對于安全而言，總得有人出來指出，喲，原來你沒穿上我們普通人的衣服，你穿的是隱形的透明的鋼鐵不銹鋼的合金衣！

無線網絡信道的不可信，問題很大。是具備能讓智能汽車失控的潛在原因。

但這并不是全部，能出問題還可能在智能系統上。

智能系統一定是復雜的，特別是帶有網絡遠程控制的智能系統。所以，谷歌的安卓系統，是能作惡的。國產的鴻蒙系統最近新增了2000萬行代碼，什么概念呢？拿一篇word文檔舉例，只能放得下50頁，如果全部打印下來那就是40萬頁。我們普通的一本書比較厚的大概是1000頁，也就是說大概打印下來能裝400萬本1000頁厚的書。如果每個人1年寫10本1000頁厚的書，大概需要40萬人1年才能寫出2000萬行代碼。

寫代碼是簡單的，但是查代碼漏洞不容易啊。首先，完整看完這2000萬行代碼，我覺得大部分人100輩子都做不到。更別說查漏洞了。

這里肯定會有人抬杠一下，2000萬行的智能系統不多見吧？

舉世流行的linux系統（google的安卓系統底層就是用這個），累計下來，預計有10億行代碼。linux系統在你人的智能手機上都安裝有（蘋果手機是類unix系統改造的，代碼行數并不低）。

所以，智能系統大部分都是復雜系統。

復雜系統不一定不安全，就是有漏洞。這不，0day漏洞，作為云服務器運營商，亞馬遜和國內的各種云，肯定整天在打智能系統的運維補丁。為啥？漏洞不少啊。

既然智能系統不安全，能不能不用。這是個好問題，我想說的是：能不用就不用。

所以俄羅斯跟烏克蘭的矛盾在于：“俄用的是電子管武器，沒有智能系統”（謠言止于智者）。烏用的是西式的武器系統，有大量的復雜的網絡的、智能的、分布式的、APP的、去中心化舉報敵情的各種智能系統。戰爭的現狀估計很多人都關注到，俄增兵了，戰斗很焦灼。

智能系統，既能用于智能汽車，也能用于戰爭，這是俄烏戰爭的啟示。

不僅如此，民用的電子芯片（例如MCU，某D牌廠商就號稱能自主生產大部分車規級芯片——這是個壯舉）也能用于導彈等的復雜智能武器上。所以俄撤退了，抱走的是電冰箱，因為電冰箱里有MCU芯片，可以用于制造擁有智能系統的精確制導武器。

對于穿上了紅色衣服的安全教主說的話，某斯拉的智能汽車有漏洞，能被黑入，我是信的。因為沒有漏洞的智能系統不存在。

既然如此，智能系統充滿漏洞，剎車系統被影響了，這并不奇怪。

現在的智能汽車，都是有著比linux、安卓系統更加復雜的神經網絡之無人駕駛的自動系統的。這可比某B音的飛機無人駕駛系統復雜1萬倍的：在天上沒有路障，沒有信號燈、沒有橫穿馬路的行人、沒有左右搖擺的電動單車、沒有坑坑洼洼有可能地陷的路面、沒有因修路而設置的各種路障，飛行駕駛員還是年薪幾百萬的。

復雜的貴達數億美金的機械飛機都能失控、還能出智能無人駕駛系統事故，更別說才幾十萬元人民幣的又帶有復雜自動駕駛系統的智能電動汽車了。

說了這么多，網絡服務器、信道可能會被攻擊，智能汽車的智能系統也充滿了潛在的漏洞。還如何確保安全呢？

本人不是機械工程師，無法給出機械方面的安全建議。但是就智能系統和網絡安全、智能主機安全給出一些比普通人還算專業的建議，還是能做得到的。

首先，要確保有日志。

這不，某拉的官方工作人員說了，有后臺數據，后臺數據表明沒剎車，電門按到底。

對，專業的貨車駕駛員，能把電位當剎車，一直踩，不松開過。

就這不松開過就存在問題，誰剎車發現沒反應，會一直踩到底不松呢（連踩到底幾分鐘不松很困難），除非是腦子軸了。但是警方說司機是沒有毒駕、醉駕的。

這就在邏輯上排除了，人為的電門會被正常表現的老司機一直踩到底沒松過的可能性。

如果不是人為一直踩電門，那有可能的原因是什么呢？

很簡單，電門不一定非得人踩著，才會有電門踩到底的行為。

因為除了人，還有自動駕駛系統。即便自動駕駛系統沒發過這樣的指令，也可能是電信號干擾導致的。原因太多，一輛電動智能汽車的組件雖然看起來比機械油車零部件少，但是構建智能系統的復雜的分布式系統模塊，一定是比普通汽車要多得多的。

如果某拉的后臺數據是對的，智能汽車的智能系統也是對的、駕駛員也沒問題，那是什么問題呢？

所以警方說了，是失控事故。我覺得這個“失控”定義非常清晰，說的就不是人為的。

這里說的人，既是說駕駛員不會人為導致事故，也是說某拉不會故意讓智能汽車發生事故。

不是人為的，那就是非人為的。

關于智能汽車的神經網絡自動駕駛系統，我很早就跟行業知名的某媒咨詢創始人兼CEO說過，自動駕駛會在5年內變得流行起來。

果然，2022年了，現在的智能汽車不能沒有自動駕駛。

智能自動駕駛，作為算法工程師兼安全架構師、碼農（農民工的農）的我，幾天天天開這樣的智能自動駕駛汽車。而且一出停車場，必開L2級別的自動駕駛，無它，省心省事。

每天開上幾十公里近百公里上下班，能省不少精力。

但，自從剛買車不到1個月，就出了一個小小的自動駕駛事故，我的手再也沒離開過方向盤，并且眼睛總是盯著路況，絲毫不會分心，即便我聽著音質尚可的丹拿音響的Q版高清音樂。

事故的原因很簡單，以10公里/h不到的速度，自動駕駛的汽車徑直地撞向了鬼探頭的緩行的的士汽車。對于那個的士司機，現在依然對他感到歉意。因為我對自動駕駛的過于放心才導致了剮蹭，還好沒發生人身傷害，只是讓對方損失了半天的維修時間加上影響了一天的心情。

因為這次事故，雖然我天天一出門必開自動駕駛，但是絕對不敢不看路況的情況下，把方向盤完全交給L2級別的自動駕駛的智能系統。

原因無它，用它是為了省踩剎車、踩電門、踩油門（好吧，暴露就暴露吧，是史上最強混動系統的、在除了上海地區能掛綠牌插混的某D牌某H型號某M后綴的4.7s百公里加速插混版智能汽車）的精力。

智能汽車的自動駕駛確實是神器，不僅省心、省力、還安全可靠。當然，這僅限于你的注意力不被分散、沒有鬼探頭、僅限跟車的情況下——并且跟車的情況下保持安全距離，留夠智能系統自動剎車的時間和距離——總而言之，懂點計算機程序算法的人，估計更容易操控這樣的智能自動駕駛汽車，不講道理的非理性的人不建議采用自動駕駛模式，因為目前還不夠智能，不夠智能的汽車你跟它發脾氣或者不理它，很容易出問題。

拿自己開智能自動駕駛的經驗告訴大家一個事實：

帶智能自動駕駛的汽車，電門和剎車，是能被帶有神經網絡的智能系統控制的。否則無法自動剎車、自動踩電門加速。

從這次潮洲的智能汽車的事故來看，不管出于什么原因。車失控之后，十之八九“被動”啟動了“自動駕駛”程序邏輯。

是否如此，得查日志！

再次，雖然有后臺數據（網絡日志——通過無線網絡傳遞過來的，經過無線通信基站、衛星、光纖、寬帶、路由器、云服務商、服務器機等等的分布式去中心化網絡系統），但不一定完全可信。

就拿曾經在國內大工廠的安全方面的工作經驗來看，網絡日志也可能沒打全、打漏、缺失、錯誤、被修改、被誤處理、被清理。

當然，沒打全的網絡日志，就很有可能因某些事件沒有被紀錄下來，這就導致了網絡日志可能沒辦法真實還原現場。

有人一定會說，既然沒打全，那有還有沒有可能拿到全量日志呢？

沒打全的原因很簡單，涉及到成本問題。

不管是智能汽車的無線網絡通訊，還是保存于服務器端的網絡日志，傳輸和保存都是需要大量成本的，如果把網絡日志打全了（特別是把實時的路況的傳感器數據——包含某拉采用的圖像識別的自動駕駛算法，這網速跟不跟得上，跟得上之后帶寬費、網絡存儲費誰給？給不給得起，貴不貴都是要實際考慮的問題）。

所以說，站在經濟學的角度，這次或者后續的智能汽車發生事故，不可能得到全量的智能汽車運轉日志數據。

說到這里，我覺得沒必要糾結某拉服務器上的后臺數據（網絡日志）的電門踩到底，沒有踩過剎車的這個結論的。更重要的是如何通過“有限的日志來反饋真相”，這才是重要的事情。

如果后臺數據反饋的真相不正確，那么還有沒有更好的辦法呢？

辦法很簡單：還是得看日志。

既然后臺數據（網絡日志）不一定可信（或者說只代表了缺失信息的真相），那么很簡單啊。不看網絡日志，看主機日志——就是智能汽車上保留的智能主機日志。

故警方通報說：將邀請第三方的檢測機構進行檢查、核實事故發生的真實原因。

說到這里，大家應該明白我的看法了吧，日志一定是反饋真相的有效手段，但是因為各種原因，日志也并不全，所以需要結合多方面的日志數據來整理分析。

目前來看，警方已經在這么做了。

比如說網絡上各種報道看到的監控視頻、相片等，都是一種交叉分析事故原因的方法。只不過這些都是佐證，最好的辦法還是拿到主機上的日志，然后進行進一步的第三方的客觀分析。

這里點贊一下最近因為疫情的生存艱難的航空行業。他們很早就建立了基于飛行日志的黑匣子機制，而且一定是高規格的國際安全規范、安全標準。

相比而言，目前帶有復雜自動駕駛的智能汽車，在安全方面離真正的專業、安全規范、國際標準還有點遠。相信為了更好地讓普通人能得到便宜實惠、性能卓越、安全可靠的智能自動駕駛的智能汽車，接下來的生產設計廠商，不回避問題，建立更有公信力，安全可靠的安全行業行業規范。只有這樣，才能更好的保護消費者，也能為品牌建立長期安全運轉建立安全屏障。

結論是啥：安全靠日志？

好吧，查事故還真得靠具備還原真相的操作日志。雖然這些操控日志也未必全面、準確。但是不能沒有，不能像普通人一樣瞎猜吧。

話說，有了日志，普通人也可以變身專業的偵探。這不，很多警匪電影，不就是說警方破獲案件，主要靠路口的監控視頻日志嗎？

日志分很多種：本機（主機）日志，網絡日志，第三方監控日志（例如監控攝像頭）。

如果主機日志、網絡日志都不可信，也是可能發生的。因為日志沒打全嘛（經濟原因或者存儲空間不夠）。

在這種情況下，一定要依賴第三方的監控日志來做交叉對比。

舉個簡單的例子，國家的網絡安全法規定，所有提供網絡服務的主體，必須把服務器放在國內部署。這是為了消費者和國家安全的一種監管方式。

如果某拉的云服務器部署在國內，那就簡單了。查有沒有刪除數據庫日志還是簡單的，監管部門可以讓云服務商配合，從數據庫日志中查看數據備份，進行數據比對就能知道是否發生人為的后臺日志數據刪改事件（某盟等saas云軟件廠商、包括口碑不佳的某度都發行過程序員刪改數據庫事故——這是上刑法的，所以農業出身的程序員，一定不要做這種事情）。

除了服務器的備份數據比對，還有主機的日志交叉比對：這里警方需要第三方檢測機構的原因在于，不能讓事故方品牌來參與是為了公信力。

主機日志有很多種，神經網絡的自動駕駛的日志是最難懂的。最好開發這個系統的程序員來干這活，因為目前大部分的自動駕駛神經網絡算法，算法結果有的時候連開發算法的程序員都看不懂。

這就導致了很多問題，算法建模所產生的參數網絡，有可能也是百萬級、千萬級的大表大參數，理解它有很大的困難性，更別說解讀日志了。

十之八九，我認為主機上的日志也是不全的。正因為車機系統太復雜——操作系統、智能駕駛系統、傳感器系統，都復雜且不一定能產生全面的可分析的全量日志。

既然不能全靠網絡日志，主機日志也不全，還咋整呢？

人民群眾的智慧是無以窮盡的，我認為最有價值的難點是：某D生產的綠牌新能源汽車，在剎車油門位置，放置了一個類似行車紀錄儀一樣的攝像頭，自此之后，某D的車機就很安全了。

這里引出第三方安全日志的重要性！

行車紀錄儀，除了供電，不會與主機復雜系統產生深入關聯的類第三方系統，能在事故還原、剎車變油門事件中真實原因真相，提供類似第三方檢測機構一樣的公信力。

第三方日志紀錄儀、第三方檢測帶來真相，帶來事故處理結果公信力！

這在航空產業的黑匣子應用方面已經被證實。

再說，某拉失控開到了190多公里/h的時速，最終駕駛員性命是安全的，車頭損害嚴重，但是最終我認為，如果有主機/車機日志、車載黑匣子、第三方日志（類行業紀錄儀），再經由第三方檢測部門，按照標準的安全行業日志規范來讀取還原真相，事故的原因查明將簡單明了。

沒有瞎猜，沒有信息不全面、信息失真、謠言參與的邏輯分析，只有基于數據日志分析得到的粗淺的人人可信的結論。