近日，一起潜伏13年的美国铁路安全漏洞震惊业界——黑客仅需价值500美元的软件定义无线电（SDR）设备，就能远程控制列车后车厢的紧急刹车系统。安全研究员Neils早在2012年就发现此漏洞（CVE-2025-1727），但由于美国铁路协会（AAR）的长期漠视，问题至今未彻底解决。

该漏洞源自1980年代部署的列车尾端模块（EoT）无线通信协议，仅采用BCH校验而缺乏加密认证。通过模拟合法信号，攻击者可伪造刹车指令，且无需物理接触列车。令人费解的是，AAR最初以『无现实威胁』为由拒绝修复，甚至阻挠联邦铁路局（FRA）在测试轨道验证漏洞。直到网络安全与基础设施安全局（CISA）发布公开警告，AAR才于2025年4月承诺更新系统，但全面部署最快需等到2027年。

业内人士批评称，这与近年来美国铁路行业追求『降本增效』的战略密切相关：延长列车编组、削减技术岗位等举措，使安全投入严重滞后。『除非事故威胁到利润，否则他们不会行动』，论坛用户的评论一针见血。当前美国多地的列车货柜盗窃问题，也侧面印证了安防系统的脆弱性。

笔者点评：当百年工业体系遭遇现代网络安全威胁，抱持『鸵鸟心态』终将酿成灾难。此事件不仅暴露出传统行业数字化转型的阵痛，更警示关键基础设施管理亟需建立第三方安全审计机制。