近日，英国政府已确认正与英国国家网络安全中心（NCSC）密切合作，针对从中国进口的电动公交车可能存在的远程禁用风险进行评估与“缓解”。此举源于挪威的一份安全测试报告，该报告声称中国制造商宇通（Yutong）的车辆存在允许远程访问和控制的严重漏洞。

此次安全警报最初由挪威首都奥斯陆及其周边地区的公共交通运营商Ruter拉响。Ruter在对一批宇通新车进行网络安全测试时，发现了一个“令人不安”的问题。

据Ruter称，中国供应商（宇通）对每辆公交车都拥有直接的数字访问权限，可用于软件更新和诊断。关键在于，这种访问权限延伸到了“电池和电源管理系统”。Ruter的报告直指核心风险：“理论上，制造商因此可以停止或瘫痪公交车。”

这一发现揭示了一个潜在的“停机开关”（Kill Switch）威胁。Ruter目前采取的临时缓解措施是移除车辆的SIM卡，因为所有网络连接都通过该单点进行，以此“在必要时确保本地控制权”。“拔卡”这种简单粗暴的应对方式，凸显了该漏洞的严重性。

这一警报迅速引发了英国当局的警觉，因为同款及同类车辆已在英国的公共交通网络中占有一席之地。据统计，目前约有700辆宇通制造的公交车在英国运营，主要分布在诺丁汉、南威尔士和格拉斯哥等地，运营商包括Stagecoach和First Bus等大型交通公司。

如果挪威的测试结果具有普遍性，英国的公共交通系统可能面临同样的操作风险，这对城市运行的连续性和公共安全构成了直接威胁。

英国交通部（DfT）发言人对此表示：“我们已注意到近期有关特定电动公交车制造商的猜测。该部门极其严肃地对待安全问题，并正与情报界密切合作，以理解和减轻潜在风险。”尽管NCSC方面拒绝对具体调查发表评论，但英国政府的表态已事实上将该事件上升为为国家级网络安全议题。

面对这一重大安全指控，供应链各方的反应截然不同。英国大型公交运营商First Bus的IT总监Gavin Davies对Ruter的工作表示认可，称其“有助于更广泛的行业学习”，并对测试和探索系统改进持“令人鼓舞”的态度的。这种表态显示出运营商对供应链安全风险的日益重视。

另一家运营商Stagecoach则选择保持沉默，将问题转交给了宇通的英国和爱尔兰进口商Pelican Bus and Coach。

作为宇通在英国的“代言人”，Pelican公司坚决否认存在任何安全风险。Pelican的宇通销售主管Ian Downie向媒体表示，所有车辆的软件更新均由工程师“亲临客户现场”进行物理操作，而非远程推送。

Pelican公司进一步发表声明，强调宇通严格遵守运营地点的法律法规和行业标准，并已通过多项国际认证，包括针对网络安全的联合国法规UN R155（网络安全管理体系）和UNR156（软件更新管理体系），以及ISO 27001（信息安全）和ISO 27701（隐私信息管理）标准。

声明还称，欧洲车辆的终端数据存储在法兰克福的AWS数据中心，用于维护和优化服务，未经客户签署授权无法访问。

Pelican公司还表示，宇通在欧洲销售的车辆不支持远程控制加速、转向或制动。然而，这并未回应Ruter的具体指控：宇通是否能远程访问车辆的电源管理系统，并可能导致车辆无法运行。