写点什么

别让代码毁了低空经济!80% 风险藏在第三方组件里,SCA 是唯一 “透视镜”

作者:安势信息
  • 2025-08-21
    上海
  • 本文字数:4030 字

    阅读完需:约 13 分钟

别让代码毁了低空经济!80% 风险藏在第三方组件里,SCA是唯一 “透视镜”

一、低空经济的战略价值与安全隐患


近两年,“低空经济”迅速从产业边缘走向国家战略层面。无论是政策文件频繁出现的“城市空中出行(Urban Air Mobility,UAM)”,还是资本市场热捧的“无人机物流”,都表明低空空域的商业化应用已经进入加速期。



从宏观角度看,低空经济是交通、物流、能源、信息产业的交汇点:

  • 在城市交通领域:它意味着未来可能出现空中的“网约车”,缓解地面交通压力;

  • 在物流运输中:无人机能够承担“最后一公里”的快速配送,提高供应链效率;

  • 在能源巡检、应急救援等场景里:低空无人机已经成为提升安全性与响应速度的重要工具。


据 Drone Industry Insights《Global Drone Market Report 2025-2030》显示:全球无人机市场规模预计 2030 年将达 578 亿美元,其中商用市场复合年增长率为 7.9%;从区域格局看,亚洲凭借中国、日本等市场成为商用无人机主导地区,而中东和非洲将成为增速最快的区域



在此背景下,作为低空经济的重要组成部分,无人机领域的增长亦折射出低空经济的广阔前景,据多家智库预测,在政策密集支持下,中国低空经济正开启万亿级市场空间,2025 年规模预计达 8591.7 亿元,至 2035 年有望突破 2 万亿元,成为继新能源汽车、光伏之后又一国家级战略产业。


然而,低空经济并不是单纯的硬件游戏。一个典型的无人机系统,已经从飞行器演化为空中计算平台,背后涉及飞控系统、操作系统、通信系统、任务应用、数据处理与云端平台,硬件只是表层,真正支撑低空经济规模化发展的,是复杂的软件系统与供应链。


这也意味着:低空经济不仅面临物理安全风险,更承载着网络安全、数据安全乃至供应链安全的多重挑战。


如果说电动车产业的核心风险是电池安全与智能化安全,那么低空经济的核心风险就是“软件供应链安全”,这是决定产业能否大规模落地、能否赢得国际竞争的关键变量。


二、无人机安全的三重风险


要理解低空经济的安全挑战,可以从三个维度来审视无人机系统的风险项:物理层、网络层、软件层


1、物理层风险-飞行器的可见性问题


无人机首先是一种航空器,其最直观的风险来自硬件与环境因素:

  • 结构失效:电机损坏、螺旋桨脱落、供电异常都可能导致坠机。

  • 传感器故障:GPS 信号漂移、陀螺仪误差、气压计失灵,会让无人机“迷航”。

  • 恶意干扰:干扰枪、电磁攻击、甚至物理捕获,都会对低空飞行器构成直接威胁。


这类风险虽然显性,但已有相对成熟的解决方案,如冗余设计、故障检测与防御性飞行策略。


2、网络层风险-通信链路的脆弱性


无人机通常需要通过无线链路与地面站或云端平台通信。


  • 链路劫持:黑客可以通过中间人攻击劫持控制权。

  • 数据窃取:飞行过程中采集的图像、位置信息若被窃取,可能造成严重隐私泄露。

  • 黑飞与非法入侵:部分无人机绕过监管系统进入敏感空域,带来公共安全隐患。


这些问题推动了监管部门加强空管系统建设,例如“电子围栏”、“远程识别”等技术的应用。


3、软件层风险-供应链的隐形风险


相比前两类风险,软件风险具有更隐蔽、更复杂且易被忽视的特性,这一点在无人机领域体现尤为明显,其软件堆栈高度依赖开源组件、第三方 SDK 及操作系统。


相关研究显示,超过 70%的无人机飞控与任务软件以开源代码为基础,而开源社区本身也贡献了该领域约 35%的核心技术创新(Open Source Initiative, 2023),这种深度依赖进一步放大了软件风险的特殊性与潜在影响:

  • 漏洞利用:攻击者利用开源组件中的已知漏洞,即可远程控制无人机。

  • 恶意依赖:通过在开源仓库投毒,将后门代码注入无人机系统。

  • 固件篡改:伪造的升级包可能在无人机全生命周期中长期存在,成为隐形风险。


最危险的是,软件层攻击往往具备隐蔽性、可规模化、跨国传播等特点。一个漏洞可能同时影响数百万架无人机,进而波及整个低空经济产业链。


因此,软件供应链的风险,才是真正意义上决定低空经济能否大规模发展的命门。


三、软件供应链:低空经济的隐形命门


在低空经济的安全体系中,硬件风险往往直观可见,网络风险也已逐步进入监管视野,但软件供应链安全却是最容易被忽视,但又最具有破坏力。


一台商用无人机的飞控软件系统呈现分层协同的架构,核心组成包括:

  • 实时操作系统(RTOS):作为底层支撑,负责硬件驱动管理与实时任务调度(如传感器数据采集、动力控制指令执行),确保微秒级响应精度。

  • 飞行控制算法:涵盖分层控制逻辑,底层包括姿态解算、速率控制与动力分配,通过传感器融合实现精准定位;上层包含航迹规划、动态避障与自主返航等决策功能,支撑无人机自主飞行。

  • 通信协议栈:以 MAVLink 为核心协议,实现飞控与地面站、外设的指令与数据交互;扩展通信则通过 LTE/5G、卫星通信等方式(多与飞控通过接口协同),满足远程数据传输需求。

  • 应用层模块:多与边缘计算单元协同,负责图像识别、目标跟踪、三维环境建模等任务,飞控通过接口提供传感器数据与控制响应支持。

  • 云端服务接口:集成加密传输协议(如 HTTPS 等),实现飞行日志上报、远程差分升级(含数字签名验证)及云端数据存储,保障数据安全与远程运维。


以上这些组件分层依赖、协同运转,共同支撑无人机的安全可控与功能实现。


现代无人机软件生态确实呈现出显著的开源化特征‌,主流无人机飞控系统(如 PX4、ArduPilot 等)均采用开源架构,其核心代码库中开源组件占比较高‌,其中包含成百上千个第三方库与依赖,这也意味着,一旦上游组件存在漏洞或被恶意投毒,整个无人机群体都可能暴露于风险之中。


所以,低空经济的核心风险,往往并非来自终端制造商,而是深藏于软件供应链的隐蔽环节中。


为什么说它是隐形命门?

  • 不可见性:无人机企业往往关注飞行性能与硬件创新,却缺乏对底层软件依赖的可见性。

  • 连锁反应:一个开源依赖的漏洞,可能跨越数百个项目,影响全球数百万设备。

  • 攻击门槛低:黑客无需物理接触无人机,只需利用远程漏洞,即可实现大规模控制。

  • 产业关联度高:低空经济并非孤立行业,而是与物流、交通、能源、应急等领域深度耦合,一旦软件供应链被攻击,风险将通过产业链传导,造成系统性安全事件。


因此,可以说,谁能有效解决软件供应链安全问题,谁就能在低空经济产业中构筑起真正的竞争壁垒。


四、治理与监管:如何构建低空经济的安全底座


低空经济的发展,不能仅依靠企业的技术创新和市场推动,更需要系统化的治理与监管机制作为安全底座。如果没有这一底座,任何一次事故或攻击事件,都可能演变成产业发展的多米诺骨牌。


1、现有治理框架的不足


  • 碎片化管理:目前,低空经济涉及的监管部门多达十余个,涵盖民航、工信、公安、应急、测绘、数据安全等领域,但缺乏统一的协调机制。

  • 事后响应多、事前预防少:大部分监管措施仍停留在飞行审批、航线管控层面,对于软件供应链、数据传输、云端服务的风险预警不足。

  • 标准滞后:国内外尚未形成完整的无人机软件安全标准,导致企业缺乏明确的合规参照,安全投入更多依赖自觉。


这些不足意味着:低空经济的快速扩张,正在跑在监管框架的前面。


2、三个关键治理支柱

要想真正构建安全底座,至少需要以下三个支柱:


2.1 全生命周期监管

  • 从无人机生产、销售、注册,到飞行、数据存储、维护、退役,每一个环节都需要形成可追溯的合规链条。

  • 借鉴汽车行业的“召回机制”,一旦发现软件供应链存在重大漏洞,必须具备快速下架、修复与强制升级的能力。


2.2 数据主权与边界管理

  • 明确无人机采集的图像、地理信息、工业巡检数据的存储范围与流转规则。

  • 对涉及关键信息基础设施的飞行任务,要求采用本地化云平台和自主加密算法,避免数据外泄。


2.3 安全标准与认证体系

建立无人机软件成分分析(SCA)与合规检测的强制标准,要求供应商提供软件物料清单(SBOM),明确组件来源及版本,类似医疗器械的注册审批机制。


安势信息旗下拥有完全自主知识产权的【清源 CleanSource SCA】能提供多种先进的探测技术、全面的数据库和灵活的部署方式,帮助企业快速建立准确、全面的软件物料清单(SBOM),保证开源组件和库的可见性,依托强大的漏洞可达性分析和漏洞治理能力,助力企业降低和管理其应用中因使用开源软件和其他第三方代码(软件)引入的安全、质量和许可证合规风险。



了解更多软件供应链安全与合规治理解决方案及最新漏洞和投毒情报资讯,请关注【安势信息】公众号,或咨询【安势信息助手】

或可以免费体验安势【清源 SCA 社区版】。

免费开放:检测开源组件漏洞、许可证合规,控制软件供应链风险

免费体验链接:https://cleansource-ce.sectrend.com.cn:9988/login


buildscan(清源 SCA 社区版的 CLI 工具)。

开源:组件分析,支持二次开发开源。

托管地址:https://github.com/sectrend-cn/build-scan


推动形成分级认证:消费级无人机可采用简化版标准,而面向能源、交通、警务的行业级无人机必须满足更高等级的安全认证。


3、公私协同治理模式


低空经济的安全治理,不可能仅依靠政府强制,必须形成公私协同的模式:

  • 政府:负责顶层设计、法律法规与监管执行。

  • 企业:在研发与运维环节落实安全措施,建立内部合规团队。

  • 第三方机构:提供安全检测、渗透测试、漏洞响应等专业服务。

  • 行业协会:推动标准化制定,形成行业自律。


而治理与监管的关键在于:

  • 防止风险前置化,即在漏洞被利用前就能发现并修复;

  • 形成制度化的合规链条,让企业既有压力,也有明确的操作路径;

  • 兼顾产业发展与安全红线,避免因过度管控而压制创新。



关于安势信息

上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商,核心团队来自 Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持 DevSecOps 的理念和实践,以 AI、多维探测和底层引擎开发等技术为核心,提供包括清源 CleanSource SCA(软件成分分析)、清源 SCA 社区版、清正 CleanBinary (二进制代码扫描)、清流 PureStream(AI 风险治理平台)、清本 CleanCode SAST(企业级白盒静态代码扫描)、可信开源软件服务平台、开源治理服务等产品和解决方案,覆盖央企、高科技、互联网、ICT、汽车、高端制造、半导体 &软件、金融等多元化场景的软件供应链安全治理最佳实践。


欢迎访问安势信息官网https://www.sectrend.com.cn 或发送邮件至 info@sectrend.com.cn 垂询。



留言

写留言


发布于: 刚刚阅读数: 2
用户头像

安势信息

关注

正本清源,不止于安全。 2022-05-20 加入

上海安势信息是国内先进的AI+软件供应链安全治理方案商。专注打造DevSecOps工具链,以AI等为技术核心,围绕软件全生命周期,推出清源SCA、清正CleanBinary、SAST、AIBOM等自主知识产权的应用安全产品与方案。

评论

发布
暂无评论
别让代码毁了低空经济!80% 风险藏在第三方组件里,SCA是唯一 “透视镜”_SCA_安势信息_InfoQ写作社区