一、低空經濟的戰略價值與安全隱患
近兩年,“低空經濟”迅速從產業邊緣走向國家戰略層面。無論是政策文件頻繁出現的“城市空中出行(Urban Air Mobility,UAM)”,還是資本市場熱捧的“無人機物流”,都表明低空空域的商業化應用已經進入加速期。
從宏觀角度看,低空經濟是交通、物流、能源、信息產業的交匯點:在城市交通領域:它意味着未來可能出現空中的“網約車”,緩解地面交通壓力;在物流運輸中:無人機能夠承擔“最後一公里”的快速配送,提高供應鏈效率;在能源巡檢、應急救援等場景裏:低空無人機已經成為提升安全性與響應速度的重要工具。
據 Drone Industry Insights《Global Drone Market Report 2025-2030》顯示:全球無人機市場規模預計 2030 年將達 578 億美元,其中商用市場複合年增長率為 7.9%;從區域格局看,亞洲憑藉中國、日本等市場成為商用無人機主導地區,而中東和非洲將成為增速最快的區域。
在此背景下,作為低空經濟的重要組成部分,無人機領域的增長亦折射出低空經濟的廣闊前景,據多家智庫預測,在政策密集支持下,中國低空經濟正開啓萬億級市場空間,2025 年規模預計達 8591.7 億元,至 2035 年有望突破 2 萬億元,成為繼新能源汽車、光伏之後又一國家級戰略產業。
然而,低空經濟並不是單純的硬件遊戲。一個典型的無人機系統,已經從飛行器演化為空中計算平台,背後涉及飛控系統、操作系統、通信系統、任務應用、數據處理與雲端平台,硬件只是表層,真正支撐低空經濟規模化發展的,是複雜的軟件系統與供應鏈。
這也意味着:低空經濟不僅面臨物理安全風險,更承載着網絡安全、數據安全乃至供應鏈安全的多重挑戰。
如果説電動車產業的核心風險是電池安全與智能化安全,那麼低空經濟的核心風險就是“軟件供應鏈安全”,這是決定產業能否大規模落地、能否贏得國際競爭的關鍵變量。
二、無人機安全的三重風險
要理解低空經濟的安全挑戰,可以從三個維度來審視無人機系統的風險項:物理層、網絡層、軟件層。
1、物理層風險-飛行器的可見性問題
無人機首先是一種航空器,其最直觀的風險來自硬件與環境因素:結構失效:電機損壞、螺旋槳脱落、供電異常都可能導致墜機。傳感器故障:GPS 信號漂移、陀螺儀誤差、氣壓計失靈,會讓無人機“迷航”。惡意干擾:干擾槍、電磁攻擊、甚至物理捕獲,都會對低空飛行器構成直接威脅。
這類風險雖然顯性,但已有相對成熟的解決方案,如冗餘設計、故障檢測與防禦性飛行策略。
2、網絡層風險-通信鏈路的脆弱性
無人機通常需要通過無線鏈路與地面站或雲端平台通信。
鏈路劫持:黑客可以通過中間人攻擊劫持控制權。數據竊取:飛行過程中採集的圖像、位置信息若被竊取,可能造成嚴重隱私泄露。黑飛與非法入侵:部分無人機繞過監管系統進入敏感空域,帶來公共安全隱患。
這些問題推動了監管部門加強空管系統建設,例如“電子圍欄”、“遠程識別”等技術的應用。
3、軟件層風險-供應鏈的隱形風險
相比前兩類風險,軟件風險具有更隱蔽、更復雜且易被忽視的特性,這一點在無人機領域體現尤為明顯,其軟件堆棧高度依賴開源組件、第三方 SDK 及操作系統。
相關研究顯示,超過 70%的無人機飛控與任務軟件以開源代碼為基礎,而開源社區本身也貢獻了該領域約 35%的核心技術創新(Open Source Initiative, 2023),這種深度依賴進一步放大了軟件風險的特殊性與潛在影響:漏洞利用:攻擊者利用開源組件中的已知漏洞,即可遠程控制無人機。惡意依賴:通過在開源倉庫投毒,將後門代碼注入無人機系統。固件篡改:偽造的升級包可能在無人機全生命週期中長期存在,成為隱形風險。
最危險的是,軟件層攻擊往往具備隱蔽性、可規模化、跨國傳播等特點。一個漏洞可能同時影響數百萬架無人機,進而波及整個低空經濟產業鏈。
因此,軟件供應鏈的風險,才是真正意義上決定低空經濟能否大規模發展的命門。
三、軟件供應鏈:低空經濟的隱形命門
在低空經濟的安全體系中,硬件風險往往直觀可見,網絡風險也已逐步進入監管視野,但軟件供應鏈安全卻是最容易被忽視,但又最具有破壞力。
一台商用無人機的飛控軟件系統呈現分層協同的架構,核心組成包括:
- 實時操作系統(RTOS):作為底層支撐,負責硬件驅動管理與實時任務調度(如傳感器數據採集、動力控制指令執行),確保微秒級響應精度。
- 飛行控制算法:涵蓋分層控制邏輯,底層包括姿態解算、速率控制與動力分配,通過傳感器融合實現精準定位;上層包含航跡規劃、動態避障與自主返航等決策功能,支撐無人機自主飛行。
- 通信協議棧:以 MAVLink 為核心協議,實現飛控與地面站、外設的指令與數據交互;擴展通信則通過 LTE/5G、衞星通信等方式(多與飛控通過接口協同),滿足遠程數據傳輸需求。
- 應用層模塊:多與邊緣計算單元協同,負責圖像識別、目標跟蹤、三維環境建模等任務,飛控通過接口提供傳感器數據與控制響應支持。
- 雲端服務接口:集成加密傳輸協議(如 HTTPS 等),實現飛行日誌上報、遠程差分升級(含數字簽名驗證)及雲端數據存儲,保障數據安全與遠程運維。
以上這些組件分層依賴、協同運轉,共同支撐無人機的安全可控與功能實現。
現代無人機軟件生態確實呈現出顯著的開源化特徵,主流無人機飛控系統(如 PX4、ArduPilot 等)均採用開源架構,其核心代碼庫中開源組件佔比較高,其中包含成百上千個第三方庫與依賴,這也意味着,一旦上游組件存在漏洞或被惡意投毒,整個無人機羣體都可能暴露於風險之中。
所以,低空經濟的核心風險,往往並非來自終端製造商,而是深藏於軟件供應鏈的隱蔽環節中。
為什麼説它是隱形命門?
- 不可見性:無人機企業往往關注飛行性能與硬件創新,卻缺乏對底層軟件依賴的可見性。
- 連鎖反應:一個開源依賴的漏洞,可能跨越數百個項目,影響全球數百萬設備。
- 攻擊門檻低:黑客無需物理接觸無人機,只需利用遠程漏洞,即可實現大規模控制。
- 產業關聯度高:低空經濟並非孤立行業,而是與物流、交通、能源、應急等領域深度耦合,一旦軟件供應鏈被攻擊,風險將通過產業鏈傳導,造成系統性安全事件。
因此,可以説,誰能有效解決軟件供應鏈安全問題,誰就能在低空經濟產業中構築起真正的競爭壁壘。
四、治理與監管:如何構建低空經濟的安全底座
低空經濟的發展,不能僅依靠企業的技術創新和市場推動,更需要系統化的治理與監管機制作為安全底座。如果沒有這一底座,任何一次事故或攻擊事件,都可能演變成產業發展的多米諾骨牌。
1、現有治理框架的不足
- 碎片化管理:目前,低空經濟涉及的監管部門多達十餘個,涵蓋民航、工信、公安、應急、測繪、數據安全等領域,但缺乏統一的協調機制。
- 事後響應多、事前預防少:大部分監管措施仍停留在飛行審批、航線管控層面,對於軟件供應鏈、數據傳輸、雲端服務的風險預警不足。
- 標準滯後:國內外尚未形成完整的無人機軟件安全標準,導致企業缺乏明確的合規參照,安全投入更多依賴自覺。
這些不足意味着:低空經濟的快速擴張,正在跑在監管框架的前面。
2、三個關鍵治理支柱要想真正構建安全底座,至少需要以下三個支柱:
2.1 全生命週期監管從無人機生產、銷售、註冊,到飛行、數據存儲、維護、退役,每一個環節都需要形成可追溯的合規鏈條。借鑑汽車行業的“召回機制”,一旦發現軟件供應鏈存在重大漏洞,必須具備快速下架、修復與強制升級的能力。
2.2 數據主權與邊界管理明確無人機採集的圖像、地理信息、工業巡檢數據的存儲範圍與流轉規則。對涉及關鍵信息基礎設施的飛行任務,要求採用本地化雲平台和自主加密算法,避免數據外泄。
2.3 安全標準與認證體系建立無人機軟件成分分析(SCA)與合規檢測的強制標準,要求供應商提供軟件物料清單(SBOM),明確組件來源及版本,類似醫療器械的註冊審批機制。
安勢信息旗下擁有完全自主知識產權的【清源 CleanSource SCA】能提供多種先進的探測技術、全面的數據庫和靈活的部署方式,幫助企業快速建立準確、全面的軟件物料清單(SBOM),保證開源組件和庫的可見性,依託強大的漏洞可達性分析和漏洞治理能力,助力企業降低和管理其應用中因使用開源軟件和其他第三方代碼(軟件)引入的安全、質量和許可證合規風險。
瞭解更多軟件供應鏈安全與合規治理解決方案及最新漏洞和投毒情報資訊,請關注【安勢信息】公眾號,或諮詢【安勢信息助手】
或可以免費體驗安勢【清源 SCA 社區版】。免費開放:檢測開源組件漏洞、許可證合規,控制軟件供應鏈風險免費體驗鏈接:https://cleansource-ce.sectrend.com.cn:9988/login
buildscan(清源 SCA 社區版的 CLI 工具)。開源:組件分析,支持二次開發開源。託管地址:https://github.com/sectrend-cn/build-scan
推動形成分級認證:消費級無人機可採用簡化版標準,而面向能源、交通、警務的行業級無人機必須滿足更高等級的安全認證。
3、公私協同治理模式
- 低空經濟的安全治理,不可能僅依靠政府強制,必須形成公私協同的模式:
- 政府:負責頂層設計、法律法規與監管執行。
- 企業:在研發與運維環節落實安全措施,建立內部合規團隊。
- 第三方機構:提供安全檢測、滲透測試、漏洞響應等專業服務。
- 行業協會:推動標準化制定,形成行業自律。
而治理與監管的關鍵在於:
- 防止風險前置化,即在漏洞被利用前就能發現並修復;
- 形成制度化的合規鏈條,讓企業既有壓力,也有明確的操作路徑;
- 兼顧產業發展與安全紅線,避免因過度管控而壓制創新。
關於安勢信息
上海安勢信息技術有限公司是國內先進的軟件供應鏈安全治理解決方案提供商,核心團隊來自 Synopsys、華為、阿里巴巴、騰訊、中興等國內外企業。安勢信息始終堅持 DevSecOps 的理念和實踐,以 AI、多維探測和底層引擎開發等技術為核心,提供包括清源 CleanSource SCA(軟件成分分析)、清源 SCA 社區版、清正 CleanBinary (二進制代碼掃描)、清流 PureStream(AI 風險治理平台)、清本 CleanCode SAST(企業級白盒靜態代碼掃描)、可信開源軟件服務平台、開源治理服務等產品和解決方案,覆蓋央企、高科技、互聯網、ICT、汽車、高端製造、半導體 &軟件、金融等多元化場景的軟件供應鏈安全治理最佳實踐。
歡迎訪問安勢信息官網[https://www.sectrend.com.cn] 或發送郵件至 info@sectrend.com.cn 垂詢。
