Pwn2Own Automotive 2026赛事首日，研究人员通过37个0Day漏洞获得51.65万美元奖金。目前赛事累计曝光66个独特漏洞，总奖金达95.575万美元，凸显汽车行业巨大的攻击面。

Part01

多系统漏洞集中爆发

比赛展示了针对车载信息娱乐系统（IVI）、电动汽车充电桩和嵌入式Linux环境等多个车辆子系统的攻击技术。研究人员在Alpine、Kenwood、Phoenix Contact、Alpitronic和Autel等厂商设备中，成功演示了命令注入漏洞、缓冲区溢出、认证绕过和权限提升等漏洞利用链。

Fuzzware.io团队凭借复杂漏洞链利用技术，在"破解大师"排行榜中占据领先地位。

Part02

漏洞组合攻击成主流

参赛团队通过组合命令注入漏洞与协议操纵插件来最大化得分。其中某团队成功利用Phoenix Contact CHARX SEC-3150和ChargePoint Home Flex（CPH50-K）系统中的多个漏洞。

Technical Debt Collectors团队的Rob Blakely在次日比赛中，通过组合越界读取、内存耗尽和堆溢出三个漏洞成功攻破Automotive Grade Linux系统，获得4万美元奖金。这一漏洞链证明了保护行业通用开源汽车平台的重要性。

Part03

电动汽车充电基础设施漏洞凸显

充电基础设施成为主要攻击目标，多个团队成功绕过电动汽车充电桩的安全防护。Synacktiv团队利用Autel MaxiCharger AC Elite Home 40A设备的基于栈的缓冲区溢出漏洞，而Summoning团队则演示了ChargePoint Home Flex系统中的命令注入漏洞。

赛事还出现多团队独立发现相同漏洞的"碰撞"现象，次日共发生15次碰撞提交。Fuzzware.io团队的领先优势表明，最终日的技术执行力和漏洞发现速度将成为决胜关键。据zerodayinitiative统计，两天内曝光的66个0Day漏洞，全面揭示了从车载娱乐系统、充电协议到嵌入式操作系统的汽车攻击面。

随着赛事进入尾声，第三日预计将有更多漏洞曝光。Pwn2Own披露的漏洞将助力厂商完善安全路线图，推动整个联网汽车平台行业的安全加固工作。

参考来源：

Hackers Earned $516,500 for 37 Unique 0-day Vulnerabilities – Pwn2Own Automotive 2026

https://cybersecuritynews.com/0-day-vulnerabilities-pwn2own-automotive-2026/

文章来源 ：FreeBuf