你的屋顶光伏，怎么成了国家安全问题

美国网络安全机构CISA的一份报告揭示了EG4太阳能逆变器存在的安全缺陷，这些缺陷可能导致数据被拦截或系统被控制。这一事件引发了对家庭太阳能系统网络安全的普遍担忧，尤其是在中国制造的逆变器主导全球市场的背景下。尽管EG4公司正在修复漏洞，但此事凸显了住宅太阳能装置在监管缺失下的脆弱性，以及整个行业在快速发展中面临的系统性风险。

一个家庭设备的安全警报

太阳能逆变器是将屋顶太阳能板产生的直流电转换成家用交流电的核心设备。然而，现代逆变器已不再是简单的电源转换器，它们还负责监控性能、与电网通信，并正成为家庭能源系统的中枢。

美国网络安全机构CISA发现，EG4公司的太阳能逆变器存在严重安全漏洞。一个知道设备序列号的攻击者，只要接入与逆变器相同的网络，就可能：

• 拦截传输的数据。
• 安装恶意的固件。
• 完全夺取系统的控制权。

“五年前没人知道太阳能逆变器是什么，”网络安全公司Dragos的顾问Justin Pascale说。“现在我们正在国家和国际层面上讨论它。”

不只是个别公司的问题

随着成本下降和政府激励，美国家庭太阳能装置数量在2014至2022年间增长了五倍多。每一个家庭都像一个微型发电厂，但在增加能源独立性的同时，也成了潜在的网络攻击入口。

EG4公司的CEO James Showalter承认其产品的不足，但也强调了更广泛的背景：

“这不是一个EG4的问题，这是一个 行业性的问题。”

他指出，自2019年以来，整个太阳能行业已披露了88个与商业和住宅应用相关的安全漏洞。然而，客户对此并不买账，因为CISA披露的缺陷非常基础，例如：

• 监控应用和逆变器之间的通信使用 未加密的纯文本。
• 固件更新缺少完整性检查。
• 认证程序过于简单。

一位匿名客户表示：“这些都是 根本性的安全失误。更糟糕的是，EG4甚至没有通知我或提供任何补救措施。”

地缘政治与供应链风险

这一事件恰逢外界对可再生能源设备供应链安全的普遍担忧。据报道，美国能源官员在一些中国制造的逆变器和电池中发现了 未在硬件清单中列出的通信设备，这引发了警报。

中国在太阳能制造业中占据主导地位，这使得设备安全问题变得更加复杂。

• 华为是全球最大的逆变器供应商，2022年占全球出货量的29%。
• 紧随其后的是中国的阳光电源和锦浪科技。
• 欧洲约有200吉瓦的太阳能发电能力与中国制造的逆变器相连。

出于安全考虑，立陶宛已立法限制中国远程访问其能源设施，这实际上限制了中国逆变器的使用。EG4公司也表示，正逐步从中国供应商转向德国等其他国家的公司。

监管真空地带

目前，针对大型发电设施（如太阳能农场）的网络安全标准并不适用于住宅系统。这些小型装置处于一个 监管的灰色地带，安全标准只是建议而非强制要求。

这意味着成千上万个小型装置的安全性，基本上取决于制造商的自觉。真正的风险并非单个家庭被黑客攻击，而是整个系统的 聚合脆弱性。

美国国家标准与技术研究院（NIST）警告说，“如果你能远程控制足够多的家庭太阳能逆变器，并同时进行恶意操作，可能会对电网造成长期的灾难性影响。”

随着电网日益分散，攻击面也呈指数级扩大。每个逆变器都成了一个潜在的压力点。EG4公司将CISA的介入视为一次“信任升级”的机会，并已着手修复漏洞。但对于普通消费者而言，他们购买的环保科技产品，却无意中让他们卷入了一个几乎无人能完全理解的复杂网络安全格局。