James Schoruter förklarar ett ganska specifikt scenario, om inte ett helt otroligt mardrömsscenario. Någon kör till ditt hus, spricker ditt Wi-Fi-lösenord och börjar sedan röra sig med solen som har kastats åt sidan av ditt garage.
”Vi behöver solstalkers” för att detta scenario ska utvecklas, säger Showalter. Den beskriver människor som fysiskt behöver manifestera sig i sina uppfart, både med teknisk kunskap och motivation att hacka energisystemet.
Showalter, VD för EG4 Electronics, A Sulphur Springs, Texas-baserat företag, anser inte att serien av evenemang är särskilt troliga. Ändå är det därför hans företag är i rampljuset förra veckan när USA: s cybersecurity -byrå CISA släppte en rådgivande detaljering av säkerhetssårbarheter i EG4: s solinverterare. Enligt CISA tillåter defekten attacker som får åtkomst till samma nätverk som den drabbade inverteraren, vilket gör att data kan avlyssnas, installera skadlig firmware och ta kontroll över hela systemet.
För de ungefär 55 000 kunderna som äger en inverterningsmodell påverkad av EG4, kändes detta avsnitt förmodligen som en otrolig introduktion till en enhet som de knappt förstår. Vad de lär sig är att moderna solinverterare inte längre är enkla kraftomvandlare. Nu agerar de nu som en ryggrad som kommer hem Energiinstallation, övervakning av prestanda, kommunikation med verktygsföretag och återvänder till nätet när det finns överskott av kraft.
Mycket av detta hände utan att folk insåg det. ”Ingen visste vad en solomvandlare var för fem år sedan,” observerar Justin Pascare, en ledande konsult på Dragos, ett cybersecurity -företag som specialiserat sig på industrisystem. ”Vi pratar om det på nationell och internationell nivå nu.”
Säkerhetsbrister och kundklagomål
Vissa siffror belyser i vilken utsträckning enskilda amerikanska hem blir miniatyrkraftverk. Mindre solenergiproduktion (främst hem) ökade mer än fem gånger mellan 2014 och 2022, enligt U.S. Energy Information Administration.
Varje solinstallation lägger till en annan nod till det expanderande nätverket av sammankopplade enheter, som var och en bidrar inte bara till energinoberoende, utan också till potentiella inträdespunkter för de med skadlig avsikt.
TechCrunch -evenemang
San Francisco
|
27-29 oktober 2025
När han pressas för sitt företags säkerhetsstandarder medger Showalter sina brister, men han avleder det också. ”Detta är inte en EG4 -fråga”, säger han. ”Detta är en branschövergripande fråga.” I den här redaktörens inkorg, Zoom Call och Slow, producerade han en 14-sidars rapport som katalogiserar 88 Solar Energy Vulnerabilities Dislositions in the Commercial and Residential Application Sine 2019.
Med tanke på att CISA -rådgivning avslöjade grundläggande designfel är alla hans kunder (som gick till Reddit för att klaga till Reddit) sympatiska och inte deltagare. och grundläggande autentiseringsprocedurer.
”Det här var grundläggande säkerhetsåterkallelser”, säger en kund på företaget som bad att tala anonymt. ”Det ger förnedring till en skada,” fortsätter individen. ”EG4 brydde sig inte ens om att meddela mig eller ge den föreslagna begränsningen.”
På frågan varför EG4 inte omedelbart varnar kunderna när CISA kontaktade företaget, kallar Showalter det ett ”levande och lärande” ögonblick.
”Vi är så nära att hantera CISA -gruppen, så vi är inte mitt i kakan eftersom vi kommer att komma till” gjort ”-knappen och sedan nå folket på Advee,” säger Showalter.
TechCrunch kontaktade CISA tidigare denna vecka för att ta reda på mer. Byrån har inte svarat. I sin EG4 -rådgivning sa CISA: ”Inga offentliga utforskningar som riktar sig till dessa sårbarheter har rapporterats till CISA just nu.”
banden med Kina väcker säkerhetsproblem
Inkret, tidpunkten för EG4 PR -krisen sammanfaller med bredare oas om säkerheten för leveranskedjan för förnybar energiutrustning.
Tidigare i år började amerikanska energitjänstemän enligt uppgift om de risker som utgörs av enheter som gjordes i Kina efter att ha upptäckt flera inverterare och kommunikationsutrustning av okänd orsak i batterier. Ookumenterad mobilradio och andra kommunikationsenheter hittades i utrustning från flera kinesiska leverantörer, enligt en Reuters -utredning. Detta är en komponent som inte visas på den officiella hårdvarulistan.
Detta rapporterade konstaterande har särskild vikt med tanke på Kinas dominans i solproduktion. Samma Reuters -berättelse noterade att Huawei är världens största leverantör av inverterare och står för 29% av världens last 2022, följt av andra kinesiska Sanglo och Jinlong Soria. Europeisk solkapacitet på cirka 200 GW är förknippat med inverterare tillverkade i Kina. Detta motsvarar över 200 kärnkraftverk.
Den geopolitiska betydelsen sparas inte. Förra året antog Litauen en lag som blockerar fjärråtkomst till sol-, vind- och batterifesterare över 100 kilowatt, vilket effektivt begränsade användningen av kinesiska växelriktare. Showalter sa att hans företag har svarat på kundens oro eftersom det har börjat flytta från kinesiska leverantörer, inklusive Tyskland, mot komponenter som skapats av andra företag.
Den sårbarhet som CISA som beskrivs i EG4 -systemet väcker emellertid frågor som sträcker sig utöver platsen för ett enda företags praxis och komponenter. Den amerikanska standardbyrån NIST varnar för att ”om du på distans kontrollerar tillräckligt med solenergi -inverterare och gör något läskigt på en gång, kan det ha förödande betydelse på nätet under en lång tid.”
Den goda nyheten (om någon) är att även om det i teorin är möjligt, står detta scenario inför många övningsbegränsningar.
Det bör noteras att Pascale, som fungerar i solinstallationer, erbjuder två huvudfunktioner av bostadsomvandlare. Massattacker kräver att det explosiva antalet enskilda bostäder bryts samtidigt. .
För närvarande sträcker sig regleringsramen för större installationer för närvarande inte till bostadssystem. North American Electric Reliability Corporation: s viktiga standarder för infrastrukturskydd tillämpas för närvarande på stora anläggningar, till exempel solgårdar, som producerar mer än 75 megawatt.
Bostäder är långt under dessa trösklar verkar i en reglerande grå zon där cybersäkerhetsstandarder förblir förslag snarare än krav.
Slutresultatet är emellertid att säkerheten för tusentals små installationer är starkt beroende av diskretion hos enskilda tillverkare som arbetar i ett reglerat vakuum.
Till exempel för frågan om okrypterad dataöverföring, av en anledning till att EG4 överlämnades från CISA, bör det noteras att Pascale är vanligt i produktionsmiljöer, enkel textöverföring är vanligt och uppmuntrar något.
”När du ser kryptering i en företagsmiljö är det inte tillåtet,” förklarar han. ”Men när man tittar på produktionsmiljön skickas de flesta saker i vanlig text.”
Sagt på ett annat sätt är den verkliga oroen inte ett omedelbart hot för enskilda husägare. Istället är det bundet till den övergripande sårbarheten för det snabbt växande nätverket. När energinätet blir mer och mer distribuerat expanderar attackytan exponentiellt när kraften flyter från miljoner små källor snarare än dussintals stora källor. Varje inverterare representerar en potentiell tryckpunkt för ett system som inte är utformat för att tillgodose denna komplexitetsnivå.
Showalter accepterar CISA -intervention som vad han kallar en ”förtroendeuppgradering.” Detta är en möjlighet att skilja sitt företag på en upptagen marknad. Han säger att EG4 sedan juni har arbetat med byråer för att hantera sårbarheter identifierade, vilket minskat 10 problem till de återstående tre artiklarna som företaget kommer att kunna lösa i oktober. Denna process inkluderar uppdatering av firmwareöverföringsprotokollet, implementering av ytterligare identitetsverifiering för tekniska supportsamtal och omdesigning av autentiseringsproceduren.
Men för människor som en anonym EG4 -kund som talade i missnöjda om företagets svar, understryker avsnittet den konstiga position som solarbetsgivare befinner sig. De köpte det de förstod som en lådvänlig teknik.
