近日意大利发生了一起利用人工智能语音工具实施诈骗的事件。诈骗分子伪装成意大利国防部长克罗塞托（Guido Crosetto）及其团队成员，试图说服意大利一些顶级企业家向海外汇款。此次诈骗的借口是要求受害者为被囚禁或绑架在伊朗和叙利亚的意大利公民支付赎金。这一诈骗行为发生在意大利记者塞西莉亚・萨拉（Cecilia Sala）获释之后不久。萨拉此前被关押在德黑兰监狱，于 1 月中旬获释。莫拉蒂向 La Repubblica 证实，他在接到诈骗电话后，确实汇出了一笔资金（未公开具体金额）。意大利国防部长克罗塞托在社交媒体平台 X 上表示，他已知晓诈骗分子联系了“一位杰出企业家”等人索要钱财，并称已将此事告知警方和司法部门。

近日，研究人员发现了一种新型恶意软件系列，通过Microsoft Graph API利用Microsoft Outlook作为通信渠道。这一复杂的恶意软件包括一个自定义加载程序和一个后门，分别被称为PATHLOADER和FINALDRAFT。根据其复杂性和长期运行的特点，该恶意软件主要被用于网络间谍活动。

Microsoft Graph API是微软提供的强大工具，它允许开发者通过统一的API访问微软云服务中的各种资源，包括Outlook电子邮件服务。通过这一API，恶意软件可以伪装成合法的API调用，从而躲避常规的网络安全检测。这种新型攻击手法的复杂性使其在网络间谍活动中尤为突出，网络犯罪分子利用该工具可获取目标用户的敏感信息，从而造成难以挽回的损失。

近日，一场规模巨大的物联网（IoT）安全漏洞事件曝光了27亿条包含敏感用户数据的信息，其中包括Wi-Fi网络名称、密码、IP地址和设备标识符。此次事件与中国植物生长灯制造商Mars Hydro以及加州注册公司LG-LED SOLUTIONS LIMITED有关。

网络安全研究人员Jeremiah Fowler发现了这个未受保护的数据库，并向vpnMentor进行了报告。这一事件凸显了物联网设备安全和云存储实践中的严重漏洞。这个公开可访问的数据库总计1.17TB，没有任何密码保护或加密措施。它包含了全球售出的物联网设备的日志、监控记录和错误报告。

Mars Hydro的Mars Pro应用程序用于控制物联网生长灯和气候系统，尽管其隐私政策声称不收集用户数据，但据报道，该应用程序仍然收集了这些数据。进一步的调查发现，这些记录与加州注册公司LG-LED SOLUTIONS LIMITED有关。泄露的数据还包括API详细信息以及LG-LED SOLUTIONS、Mars Hydro和Spider Farmer公司的URL链接，这些公司生产和销售农业生长灯、风扇和冷却系统。然而，目前尚不清楚LG-LED SOLUTIONS是否直接管理该数据库，或者是否使用了第三方承包商。数据库曝光的时间长度以及是否有未经授权方访问过它也不得而知。

近日，一场针对谷歌 Gemini Advanced 聊天机器人的复杂攻击被曝光。该攻击利用间接提示词注入和延迟工具调用这两种手段，成功破坏了 AI 的长期记忆，使攻击者能够在用户会话间植入虚假信息。这一漏洞引发了人们对生成式AI系统安全性的严重担忧，尤其是那些旨在长期保留用户特定数据的系统。

尽管谷歌已承认这一问题，但对其影响和危险性进行了淡化。该公司认为，攻击需要用户被钓鱼或诱导与恶意内容互动，这种场景在大规模范围内不太可能发生。此外，Gemini在存储新的长期记忆时会通知用户，为警惕的用户提供了检测和删除未经授权条目的机会。然而，专家指出，仅解决表象而非根源问题，系统依然存在漏洞。Rehberger强调，尽管谷歌已限制Markdown渲染等特定功能以防止数据泄露，但生成式AI的基础问题仍未得到解决。

本周一，苹果发布了一项紧急安全更新，修复了iOS和iPadOS中的一个安全漏洞。该漏洞已被黑客在现实中利用。该漏洞的CVE编号为CVE-2025-24200，被描述为一个授权问题，可能导致恶意攻击者关闭锁定设备上的USB限制模式，进而发动网络物理攻击。这意味着攻击者需要物理接触设备才能利用该漏洞。

USB限制模式最早于iOS 11.4.1中引入，其主要功能是：如果设备在过去一小时内未被解锁且未连接到配件，系统将阻止其与任何连接的配件进行通信。这一功能被视为一项安全措施，旨在防止执法机构常用的数字取证工具（如Cellebrite或GrayKey）未经授权访问被没收的设备并提取敏感数据。

苹果表示，该漏洞已通过改进状态管理得到修复，但并未透露更多细节。不过，苹果承认“已收到报告，该漏洞可能已被用于针对特定目标的极其复杂的攻击。”多伦多大学蒙克学院公民实验室的安全研究员Bill Marczak因发现并报告该漏洞而获得认可。