随着智能化、网联化的发展趋势，汽车的电子系统日益复杂，软件代码量激增，与路侧及云端设备数据交互节点指数级增加，攻击入口从传统的ECU，新增包括V2X通信、OTA升级、第三方App等，使得汽车信息安全风险急剧增加。信息安全事故不仅导致车企的经济和声誉损失，还可能引发个人隐私数据和国家经济地理信息泄露。

联合国WP.29发布的R155法规已将信息安全认证作为欧盟市场准入强制条件。国内四部门联合印发的《关于开展智能网联汽车准入和上路通行试点工作的通知》明确要求企业必须通过网络安全能力验证。国家强制性标准GB 44495-2024《汽车整车信息安全技术要求》的发布，标志着我国对智能网联汽车整车信息安全相关要求逐步规范。因此，做好汽车信息安全防护与测评，是汽车行业在新阶段新形势下的“必修课”。

与此同时，AI大模型正在引发新的科技革命与产业变革。近期，DeepSeek的爆火使得AI大模型技术备受关注。DeepSeek的推出，体现了AI大模型不再单纯依赖堆砌算力和参数扩张，而是在算法效率、成本、开源生态建设等方面持续突破的发展趋势。这些发展趋势也将促进AI大模型在各个垂直行业的深度渗透。那么，在汽车信息安全测评领域，AI大模型可以应用在哪些方面，扮演好“白帽助手”的角色呢？

首先，在威胁分析与风险评估阶段，AI大模型可以提升分析的全面性和深度。AI大模型可以用于解析法规标准文档，生成合规验证需求；基于知识图谱技术，识别关键资产，对数据进行自动化分类分级；模拟攻击者思维，分析攻击路径，评估不同攻击路径的影响；关联漏洞库与车辆软件物料清单，识别供应链传导风险等。

然后，在渗透测试阶段，AI大模型可以提升测试的智能化水平。在漏洞识别方面，可以利用AI大模型进行静态代码分析，识别缓冲区溢出、加密算法误用等漏洞。在测试用例生成方面，可以利用AI大模型解析CAN总线、车载以太网、V2X等通信协议，生成符合协议语法但包含异常语义的测试用例。在虚拟测试方面，AI大模型可以用于在虚拟环境中，模拟新型攻击模式。

其次，在审计追溯阶段，AI大模型可以提升审计的准确性。AI大模型可以用于解析结构化数据和非结构化数据，实现多源日志的关联分析，例如关联云端审计日志与车端行为数据；自动化映射法规标准要求至具体安全措施，并校验安全机制实施有效性。

最后，在报告生成阶段，AI大模型可以提升报告的规范性和完整性。AI大模型可以用于自动生成结构化报告，即基于测试结果数据，自动生成符合标准的报告框架，智能填充报告内容，如漏洞详情、结论模板等。基于专用测试知识库，针对测评结果提供整改建议，跟踪验证整改内容，自动关联回归测试结果。还可用于多语言转换，自动生成符合目标市场要求的双语报告等。

综上所述，AI大模型在汽车信息安全测评领域的应用潜力巨大。另一方面，应用AI大模型存在敏感信息泄露、问题误报/漏报、可解释性低难以满足工具鉴证要求、安全事故责任难以认定等问题和风险。因此，汽车信息安全测评不能过度依赖AI大模型。AI大模型可以扮演“白帽助手”，却不能替代专业的测评工程师。建议研究机构和企业尽快研究建立车规级AI验证体系，设计混合增强工作流，在关键决策点进行人工复核，建立“AI辅助+专家决策”的双层保障机制。

中国软件评测中心智能网联汽车研究测评事业部（赛迪汽车），致力于智能网联汽车前瞻技术及产业研究，拥有工信部授牌支持建设的智能网联汽车软件检测中心，下设人工智能（AI）工作组。工作组聚焦人工智能在智能网联汽车领域的应用研究、技术研究、标准研究等相关工作。下一步，赛迪汽车将联合整车企业、零部件供应商、AI大模型技术服务企业、检测机构，深入研究AI大模型赋能汽车信息安全测评的新技术、新模式，以期加强汽车信息安全防护的同时，为企业降本增效。