摘要：专家警告称，太阳能使用的日益增多，暴露出了逆变器、云计算服务以及监控平台中关键的网络安全漏洞，从而形成了一个不安全的生态系统。在这个系统中，黑客能够操控能源生产、扰乱电网，并窃取敏感数据，给全球能源基础设施带来了严重风险。

专家警告称，太阳能使用的日益增多，暴露出了逆变器、云计算服务以及监控平台中关键的网络安全漏洞，从而形成了一个不安全的生态系统。在这个系统中，黑客能够操控能源生产、扰乱电网，并窃取敏感数据，给全球能源基础设施带来了严重风险。

Forescout 旗下的 Vedere Labs 开展的一项研究发现，在阳光电源（Sungrow）、古瑞瓦特（Growatt）和德国艾思玛（SMA）这三大太阳能逆变器制造商的产品中，存在 46 个新漏洞。此前的研究结果显示，在已报告的漏洞中，80% 的严重程度为高危或极其严重，其中一些漏洞的通用漏洞评分系统（CVSS）得分达到了最高值。

在过去三年里，平均每年会披露 10 个新漏洞，其中 32% 的漏洞 CVSS 评分为 9.8 分或 10 分，这表明攻击者能够完全控制受影响的系统。许多太阳能逆变器直接连接到互联网，这使得它们很容易成为网络犯罪分子的攻击目标。攻击者可以利用过时的固件、薄弱的身份验证机制以及未加密的数据传输来获取控制权。

暴露的应用程序编程接口（API）使得黑客能够枚举用户账户、将凭据（理想情况下存储在密码管理器中）重置为默认值，并操控逆变器的设置，进而导致电力中断。

此外，不安全的对象引用和跨站脚本（XSS）漏洞可能会泄露用户的电子邮件、物理地址以及能源消耗数据，这违反了诸如《通用数据保护条例》（GDPR）等隐私法规。

除了电网不稳定之外，被攻陷的逆变器还会带来更多风险，包括数据盗窃、金融操控以及智能家居被劫持 —— 一些漏洞使得攻击者能够控制电动汽车充电器和智能插头。网络犯罪分子还可能更改逆变器的设置，从而影响能源价格，或者索要赎金以恢复系统功能。因此，该报告建议制造商应优先进行漏洞修复，采用安全的编码实践，并定期进行渗透测试。

部署 Web 应用防火墙（WAF），并遵循诸如美国国家标准与技术研究院（NIST）IR 8259 这样的网络安全框架，有助于降低风险。

监管机构也被敦促将太阳能逆变器归类为关键基础设施，并强制实施诸如欧洲电信标准协会（ETSI）EN 303 645 等安全标准，以确保符合最佳实践。

对于太阳能系统的所有者和运营商而言，要确保设施的安全，就需要将太阳能设备隔离在独立的网络中，启用安全监控，并遵循美国能源部等机构的指导方针来降低风险。

安装最好的防病毒软件可以为抵御威胁增加一层额外的防护，而部署最好的端点保护解决方案则能进一步保护连接的设备，使其免受针对太阳能基础设施的网络攻击。

来源：WiTBAT蕙柏