系统自动更新的时候有没有可能被劫持？

Windows 对每个补丁包都是有数字签名的，我不是很了解 Windows Update 是不是强制 TLS 的，不过 WinHTTPAPI 是支持 TLS 的，所以不必太担心劫持问题。
Linux 的话 apt-get 有使用 GPG 对包签名进行验证，也不用担心

正好在使用的 Windows 8.1 有安全更新，开个 Charles 抓了一下，下载的时候是没有 https 的，但应该会校验签名吧：

主流操作系统在更新的时候要么走 TLS 下载，要么会校验更新包的数字签名，在防止中间人攻击这块都有做考虑，不用太担心。
其他的系统就不好说了，我知道的就有一些路由器和嵌入式设备在更新时不会进行任何校验，进行中间人攻击很容易

有可能。
会。

金山电脑管家曾经把猎豹浏览器伪装成系统更新推送

可以参考一下 linux 源，是有签名的，虽然好多人不加…

火焰病毒 就干过利用 windows 自动更新在局域网传播。
记得好像是 windows 优先使用 netbios 解析域名，火焰就通过 netbios 将被攻击者的 windows 自动更新引导到自身，然后通过 md5 碰撞伪造的微软证书签名解决 windows 自动更新的证书验证做到了通过 windows 投毒。

几乎全部都没用 https ，应该感觉服务器忙不过来
不过现在都有签名了，只要签名没问题就 ok

只用 Linux ，所以就说下 Linux 。正常的发行版都有 GPG 签名，默认的公钥是从最开始的系统安装盘来的，所以只要第一步安装系统的时候，校验下载下来的 ISO 就可以了。
（正常的操作系统，都只要第一步的 ISO 自己校验了成功了，以后应该都没问题了。