Hackers breach Fortinet FortiGate devices, steal firewall configs 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住主要信息。 文章主要讲的是Fortinet的FortiGate设备最近遭受了一系列自动化的网络攻击。攻击者利用了设备中的一个未知漏洞，特别是单点登录（SSO）功能中的漏洞，创建了流氓账户，并窃取了防火墙的配置数据。 攻击活动从1月15日开始，攻击者在短时间内就能创建VPN访问权限并导出配置，这表明攻击是自动化的。Arctic Wolf公司在1月17日报告了这些事件，并指出这些攻击与他们在去年12月记录的事件非常相似，那次事件涉及CVE-2025-59718这个关键认证绕过漏洞。 这个漏洞允许未经身份验证的攻击者通过恶意构造的SAML消息绕过SSO认证。虽然Fortinet已经发布了补丁，但最新的FortiOS版本7.4.10似乎没有完全修复这个问题。因此，Fortinet计划在未来几天发布新的版本来解决这个问题。 受影响的管理员提到，在SSO登录后，攻击者创建了管理员账户，并且这些活动与Arctic Wolf检测到的指标相吻合。为了应对这些攻击，建议管理员暂时禁用FortiCloud SSO功能。 此外，Shadowserver基金会正在追踪近1.1万台暴露在互联网上的FortiGate设备，这些设备启用了FortiCloud SSO。CISA也将CVE-2025-59718添加到被利用的漏洞列表中，并要求联邦机构在一周内打补丁。 总结一下，文章的核心信息是：FortiGate设备遭遇自动化攻击，利用SSO漏洞创建流氓账户并窃取配置数据；这些攻击与之前发现的CVE-2025-59718漏洞有关； Fortinet正在准备发布新补丁；建议用户暂时禁用相关功能以应对威胁。 </think> Fortinet FortiGate设备近期遭遇自动化网络攻击，利用单点登录(SSO)功能中的未知漏洞创建流氓账户并窃取防火墙配置数据。该活动始于1月15日，与去年12月发现的关键认证绕过漏洞(CVE-2025-59718)相关。尽管已有补丁发布，但最新版本尚未完全修复问题。建议用户暂时禁用FortiCloud SSO功能以应对威胁。... 2026-1-22 12:0:33 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com sso arctic wolf forticloud 59718

Zendesk ticket systems hijacked in massive global spam wave 全球范围内出现一波来自未受保护的Zendesk支持系统的垃圾邮件攻击。攻击者利用该平台允许未验证用户提交支持请求的功能，生成大量带有奇怪主题的确认邮件。这些邮件来自合法公司系统，绕过垃圾过滤器。尽管不含恶意链接或钓鱼行为，但数量庞大且内容混乱令人困惑。受影响公司已采取措施应对，并建议用户忽略此类邮件。... 2026-1-22 00:0:30 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com zendesk wave attackers recipients alarming

Chainlit AI framework bugs let hackers breach cloud environments 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户的要求是直接写文章描述，不需要特定的开头。首先，我得仔细阅读文章内容，找出关键信息。 文章主要讲的是Chainlit这个开源框架发现了两个高危漏洞，分别是CVE-2026-22218和CVE-2026-22219。这两个漏洞允许攻击者读取服务器上的任意文件和泄露敏感信息。漏洞是由Zafran Labs的研究人员发现的，影响了很多行业的AI系统。 Chainlit每月有70万次下载，年下载量500万次，广泛用于企业部署和学术机构。漏洞包括任意文件读取和SSRF，攻击者可以利用这些漏洞获取敏感数据，甚至控制整个系统。 研究人员在11月23日通知了维护者，并在12月9日得到确认，修复版本在12月24日发布。建议用户尽快升级到最新版本。 总结的时候要涵盖Chainlit的流行程度、漏洞的影响、漏洞类型以及修复措施。控制在100字以内，所以需要简洁明了。 </think> Chainlit是一款流行的开源框架，用于构建对话式AI应用。研究人员发现其存在两个高危漏洞（CVE-2026-22218和CVE-2026-22219），分别允许攻击者读取服务器上的任意文件并泄露敏感信息，以及通过SSRF攻击获取内部数据。这些漏洞影响广泛且严重，已修复于版本2.9.4及以上。... 2026-1-21 22:45:22 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com chainlit 2026 22218 cloud exploited

Cisco fixes Unified Communications RCE zero day exploited in attacks 嗯，用户让我用中文帮他总结一下这篇文章的内容，控制在一百个字以内。他不需要以“文章内容总结”或者“这篇文章”这样的开头，直接写描述即可。好的，我得先仔细阅读一下文章内容。 文章主要讲的是Cisco修复了一个关键的漏洞，编号是CVE-2026-20045。这个漏洞已经被作为零日漏洞被积极利用了。影响的产品包括Unified Communications Manager、Session Management Edition、IM & Presence、Unity Connection和Webex Calling Dedicated Instance。 漏洞的原因是HTTP请求中用户提供的输入没有被正确验证。攻击者可以发送一系列精心构造的HTTP请求到管理界面，从而获得用户级别的操作系统访问权限，并进一步提升到root权限。CVSS评分为8.2，Cisco将其定为Critical级别。 Cisco已经发布了软件更新和补丁文件来修复这个漏洞，并且确认已经有在野的利用尝试。CISA也将这个漏洞加入到了已知被利用的漏洞目录中，并要求联邦机构在2026年2月11日前完成更新。 用户的需求是总结内容，控制在100字以内。我需要抓住关键点：Cisco修复了CVE-2026-20045漏洞，这是一个远程代码执行漏洞，已被零日攻击利用，影响多个产品，CVSS评分8.2，Critical级别，建议升级软件。 </think> Cisco修复了编号为CVE-2026-20045的关键远程代码执行漏洞，该漏洞已被作为零日漏洞用于攻击。该漏洞影响多个统一通信和Webex Calling产品，CVSS评分为8.2，可导致攻击者获得root权限。 Cisco已发布补丁，并建议用户尽快升级软件以应对已观测到的在野攻击活动。... 2026-1-21 22:30:30 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com unified 2026 cop security ciscocm

New Android malware uses AI to click on hidden browser ads 嗯，用户让我帮忙总结一篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”之类的开头。好的，首先我需要仔细阅读这篇文章，理解它的主要信息。 文章讲的是一个新的Android点击欺诈木马家族，利用TensorFlow机器学习模型来自动检测和点击广告元素。这跟传统的点击欺诈不同，传统的是用预定义的JavaScript脚本，而这个是基于视觉分析的机器学习。他们用的是TensorFlow.js，可以在浏览器或Node.js上运行AI模型。 接着，文章提到这些木马通过小米的应用商店GetApps分发，并且伪装成正常的游戏应用。比如Theft Auto Mafia下载量有6万多。此外，这些恶意软件还有两种模式：“幻影”模式和“信号”模式，“幻影”模式用隐藏的WebView加载页面并截图分析，“信号”模式则通过WebRTC实时传输屏幕画面供攻击者操作。 这些恶意应用不仅在小米商店出现，还在第三方APK网站和Telegram频道传播。用户下载后不会察觉异常，因为活动是在隐藏的虚拟屏幕上进行的。虽然这对用户隐私威胁不大，但会导致电池消耗和数据费用增加。 最后，建议用户避免从Google Play以外的地方下载应用，尤其是那些提供额外功能或免费访问的应用。 现在我要把这些信息浓缩到100字以内。重点包括：新的Android木马家族、利用TensorFlow检测广告、通过隐藏WebView操作、伪装成游戏应用、分发渠道包括小米商店和第三方网站、导致电池消耗和数据费用增加。 确保语言简洁明了，不使用复杂术语。检查字数是否在限制内。 </think> 新的Android点击欺诈木马家族利用TensorFlow机器学习模型自动检测并点击广告元素。这些恶意软件通过隐藏的WebView加载页面，并使用JavaScript脚本自动化操作。它们伪装成正常游戏应用，在小米GetApps等官方及第三方平台分发。攻击者通过“幻影”模式在虚拟屏幕上截图分析广告元素，并通过“信号”模式实时操作虚拟浏览器屏幕。这些恶意软件导致电池消耗和数据费用增加。... 2026-1-21 22:15:20 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com trojans spotify malicious xiaomi machine

Online retailer PcComponentes says data breach claims are fake 嗯，用户让我帮忙总结一篇文章，控制在100字以内，而且不需要用“文章内容总结”之类的开头。首先，我需要仔细阅读文章内容，抓住主要信息。 文章讲的是西班牙的电子产品零售商PcComponentes否认了数据泄露影响1600万客户的说法，但承认遭受了凭据填充攻击。他们没有发现未经授权的访问证据，但确实有攻击者试图用其他泄露的数据来登录他们的账户。泄露的数据包括订单详情、地址、姓名、电话号码、IP地址等。公司采取了措施，比如启用双重认证和Captcha。 接下来，我需要把这些要点浓缩到100字以内。要确保涵盖否认数据泄露、承认凭据填充攻击、泄露的数据类型以及公司的应对措施。 可能会这样组织：PcComponentes否认数据泄露影响1600万客户，但承认凭据填充攻击。泄露数据包括订单详情、地址等。公司已采取措施如双重认证和Captcha。 检查一下字数是否在限制内，并且表达清晰。确保没有遗漏关键点，比如攻击者的行为和公司的应对措施。 </think> 西班牙电子产品零售商PcComponentes否认数据泄露影响1600万客户，但承认遭受凭据填充攻击。攻击者声称窃取1630万条记录并泄露50万条数据，包括订单详情、地址等。公司未发现非法访问证据，并已采取双重认证和Captcha等措施应对。... 2026-1-21 21:0:35 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com passwords security stuffing rock

Fortinet admins report patched FortiGate firewalls getting hacked 攻击者正利用未完全修复的FortiGate身份验证漏洞（CVE-2025-59718）入侵已打补丁的防火墙。尽管Fortinet在12月初发布了修复补丁（7.4.9），但最新版本（7.4.10）仍未能彻底解决该问题。公司计划在未来几天内发布新版本（7.4.11、7.6.6和8.0.0）以全面修复该漏洞。目前建议管理员暂时禁用易受攻击的FortiCloud登录功能以应对威胁。... 2026-1-21 18:0:44 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com sso forticloud 59718 fortios bypass

Fake Lastpass emails pose as password vault backup alerts LastPass警告用户警惕伪装成维护通知的钓鱼邮件，要求在24小时内备份密码库。恶意链接引导至钓鱼网站，试图窃取主密码或接管账户。攻击者利用假期周末发起活动以降低警惕性。LastPass提醒用户切勿透露主密码，并建议报告可疑邮件至指定邮箱。... 2026-1-21 17:0:34 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com lastpass phishing backup maintenance passwords

Microsoft shares workaround for Outlook freezes after Windows update 微软的安全更新导致部分用户Outlook冻结无法正常运行。受影响用户包括使用POP邮箱和OneDrive存储PST文件的Windows 11、10及服务器版本用户。微软建议暂时使用网页版或移动PST文件，并可选择卸载相关更新以解决问题。... 2026-1-21 15:15:28 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com windows microsoft security reopen

You Got Phished? Of Course! You're Human... 文章指出钓鱼攻击利用人类的心理弱点（如紧迫感、上下文切换和情感时机）以及先进技术（如AI工具和PhaaS服务），使得即使是专家也可能成为受害者。... 2026-1-21 14:31:20 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com phishing attackers victim kits emotionally

Hackers exploit security testing apps to breach Fortune 500 firms 嗯，用户让我用中文总结一下这篇文章，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。直接写描述就行。 首先，我需要通读整篇文章，抓住主要信息。文章讲的是网络攻击者利用配置错误的安全培训和内部渗透测试用的Web应用，比如DVWA、OWASP Juice Shop等，入侵财富500强企业和安全供应商的云环境。这些测试应用本身是有意设计成有漏洞的，一旦暴露在公网并且从特权云账户运行的话，风险就很大。 然后，文章提到Pentera公司的调查发现有1926个这样的应用暴露在公网，很多连接到过度授权的IAM角色，并且部署在AWS、GCP和Azure上。这些应用属于多家大公司，包括Cloudflare、F5和Palo Alto Networks。很多情况下使用默认凭证，导致容易被接管。攻击者利用这些入口点部署加密矿工、webshell等恶意软件。 最后，研究人员建议企业维护全面的云资源清单，隔离测试环境，并实施最小权限策略和自动过期机制。 现在我要把这些信息浓缩到100字以内。要包括攻击者利用配置错误的应用入侵云环境，涉及的应用名称、公司例子、暴露数量、攻击行为以及建议措施。 可能的结构：网络攻击者利用配置错误的安全测试Web应用（如DVWA、OWASP Juice Shop）入侵财富500强企业和安全供应商的云环境。这些应用暴露于公网且权限过高，导致加密矿工部署等威胁。Pentera发现1926个实例涉及Cloudflare等公司。建议加强IAM管理、更改默认凭证并隔离测试环境。 检查字数是否合适：大概在90字左右。 </think> 网络攻击者利用配置错误的安全测试Web应用（如DVWA、OWASP Juice Shop）入侵财富500强企业和安全供应商的云环境。这些应用暴露于公网且权限过高，导致加密矿工部署等威胁。Pentera发现1926个实例涉及Cloudflare等公司。建议加强IAM管理、更改默认凭证并隔离测试环境。... 2026-1-21 14:16:0 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com pentera cloud xmrig security miners

GitLab warns of high-severity 2FA bypass, denial-of-service flaws GitLab修复了多个安全漏洞，包括双因素认证绕过和高危DoS缺陷，并发布新版本敦促管理员升级。约6,000个GitLab CE实例暴露在线上。该平台拥有3,000万注册用户，被50%的财富100强企业使用。... 2026-1-21 14:1:5 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com gitlab security 2026 bypass

Tesla hacked, 37 zero-days demoed at Pwn2Own Automotive 2026 Pwn2Own Automotive 2026比赛在东京举行，安全研究人员利用37个零日漏洞攻击特斯拉等系统，在首日赚取51万美元奖金。多个团队成功破解不同设备并获得额外奖励。厂商有90天时间修复漏洞。... 2026-1-21 12:31:27 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com automotive pwn2own competition vehicle security

OpenAI's ChatGPT Atlas browser is testing actions feature 嗯，用户让我总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。我得先仔细阅读文章内容，抓住主要信息。 文章讲的是基于Chromium的ChatGPT Atlas浏览器正在测试新功能，可能叫“Actions”，还能理解视频，比如生成YouTube的时间戳。这个浏览器把ChatGPT集成到浏览体验中，用户可以在当前页面直接提问和获得帮助，而不需要切换标签页或复制链接。它能理解用户在看什么，帮助研究、解释内容和完成任务。启用“browser memories”后还能记住上下文，在访问过的网站中提取有用信息。还有“agent mode”可以自动打开标签页并执行工作流程，同时有安全限制。最近更新提升了稳定性和日常使用体验，修复了内存问题，并优化了界面和搜索功能。未来计划发布Windows 11版本。 总结的时候要涵盖主要功能：集成ChatGPT、理解视频、上下文记忆、自动化模式、安全措施、更新优化以及未来计划。但要在100字内简洁明了地表达出来。 可能的结构：Atlas浏览器整合ChatGPT，支持视频理解、上下文记忆和自动化操作，提升稳定性和用户体验，并计划推出Windows版本。 检查字数是否在限制内，并确保没有遗漏关键点。 </think> 基于Chromium的ChatGPT Atlas浏览器正在测试新功能"Actions"，支持视频理解（如生成YouTube时间戳），并可直接在页面内提供帮助。该浏览器整合了ChatGPT功能，支持上下文记忆和自动化操作，并计划推出Windows版本。... 2026-1-21 02:15:26 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com chatgpt atlas tabs budget leaders

Google says Gemini won’t have ads, as ChatGPT prepares to add them 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”之类的开头。首先，我得仔细阅读用户提供的文章内容。 文章主要讲的是OpenAI在ChatGPT中开始测试广告，针对美国的$8 Go订阅和免费用户。而Google的DeepMind CEO Demis Hassabis则表示，Gemini目前不会加入广告，但也没有完全排除未来加入的可能性。同时，文章还提到ChatGPT的广告会在相关话题下出现，比如在讨论某个产品或服务时才会显示，并且在健康、心理健康或政治等敏感话题下不会出现广告。 接下来，我需要把这些信息浓缩到100字以内。重点包括：OpenAI测试广告的情况、Google的回应、以及广告的具体形式和限制条件。 可能的结构是先说OpenAI开始测试广告，然后提到Google暂时不加入广告，最后说明广告的形式和限制。这样既全面又简洁。 现在试着组织语言：OpenAI在美国对ChatGPT的免费和Go订阅用户测试广告。Google DeepMind CEO确认Gemini目前不加入广告，但未排除未来可能。ChatGPT的广告出现在相关话题下，不涉及健康或政治等内容。 检查一下字数是否符合要求，并确保信息准确无误。 </think> OpenAI在美国对ChatGPT的免费和$8 Go订阅用户测试广告,而Google DeepMind CEO确认Gemini目前不加入广告,但未排除未来可能。... 2026-1-21 00:15:21 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com chatgpt gemini budget leaders planning

OpenAI rolls out age prediction model on ChatGPT to detect your age 嗯，用户让我总结一篇文章，控制在100字以内，而且不需要特定的开头。首先，我需要通读整篇文章，抓住主要信息。 文章讲的是OpenAI在ChatGPT中推出了年龄预测模型，用来检测用户年龄，并对未成年人施加安全限制。这样可以防止青少年滥用，避免他们接触到不适合的内容。检测基于用户的使用行为和话题，可能会有误判的情况，所以OpenAI提供了年龄验证的方法。 接下来，我需要将这些信息浓缩到100字以内。要确保涵盖主要点：年龄检测、安全限制、原因、误判处理和验证方法。 然后，检查是否有遗漏的重要信息。比如，验证需要的材料和处理时间是否提到？可能不需要太详细，但要确保整体意思准确。 最后，组织语言，使其简洁明了。避免使用复杂的句子结构，确保读者能快速理解主要内容。 </think> OpenAI推出年龄预测模型以检测用户年龄，并对未成年人实施安全限制，防止其接触不当内容。该功能基于用户行为和话题分析，并可能误判成人为青少年。用户可通过验证身份（如上传政府ID或自拍）解除限制。此功能已在全球范围内推出。... 2026-1-20 23:0:41 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com chatgpt openai persona adult selfie

ACF plugin bug gives hackers admin on 50,000 WordPress sites 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住关键点。 文章主要讲的是WordPress插件ACF Extended的一个严重漏洞，编号是CVE-2025-14533。这个漏洞允许未认证的攻击者远程获取管理员权限。插件目前在10万个网站上使用，影响范围挺大的。 漏洞出现在Insert User/Update User表单中，开发者没有限制角色设置，所以攻击者可以随意设置用户角色，甚至设为管理员。这个漏洞已经在版本0.9.2.2中修复了，但仍有大约5万个网站可能还在使用旧版本。 另外，文章还提到安全公司GreyNoise监测到针对WordPress插件的大规模枚举活动，可能在寻找漏洞利用的机会。特别是Post SMTP和LiteSpeed Cache这两个插件已经被积极利用。 总结的时候，我需要把这些关键点浓缩进去：漏洞名称、影响范围、攻击方式、修复情况以及潜在威胁。同时要控制在100字以内，所以要简洁明了。 可能会这样组织句子：ACF Extended插件存在严重漏洞（CVE-2025-14533），允许未认证攻击者获取管理员权限。该插件被10万网站使用，在旧版本中存在此问题，已修复但仍有部分网站受影响。此外，大规模WordPress插件枚举活动增加风险。 检查一下字数是否符合要求，并确保信息准确无误。 </think> WordPress插件ACF Extended存在严重漏洞（CVE-2025-14533），允许未认证攻击者通过滥用表单操作获取管理员权限。该插件被10万网站使用，在旧版本中存在此问题，已修复但仍有部分网站受影响。此外，大规模WordPress插件枚举活动增加风险。... 2026-1-20 22:15:15 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com greynoise wordfence wordpress acf 14533

VoidLink cloud malware shows clear signs of being AI-generated 好的，我现在需要帮用户总结一篇关于VoidLink恶意软件框架的文章，控制在100字以内。首先，我得仔细阅读文章内容，抓住关键点。 文章提到VoidLink是一个针对云的恶意软件框架，由Check Point Research发现。它被描述为一个高级的Linux恶意软件框架，具有自定义加载器、植入模块、rootkit模块以及扩展功能的插件。研究人员推测它可能是中国开发者的作品，使用了多种编程语言。 接下来，文章指出VoidLink的发展主要依赖于AI驱动的开发，并且在一周内就完成了功能迭代。这是基于开发者的多个安全失误，暴露了源代码、文档等信息。Check Point发现开发者使用了TRAE SOLO AI助手，并通过分析生成的文件确认了AI在开发中的作用。 此外，文章提到开发者使用了Spec-Driven Development方法，制定了详细的开发计划，并在短时间内完成了大量代码。Check Point认为这是第一个由AI生成的高级恶意软件实例，标志着网络犯罪进入新阶段。 现在，我需要将这些关键点浓缩到100字以内。要突出VoidLink的特点、AI的作用以及其影响。可能的结构是：VoidLink是一个云聚焦的恶意软件框架，由单人借助AI开发，在一周内完成迭代，并具备多种功能模块。 </think> VoidLink 是一个针对云环境的高度复杂的 Linux 恶意软件框架，具备自定义加载器、植入模块和 rootkit 功能。研究发现其主要通过 AI 开发，在一周内完成迭代，并暴露了源代码和开发计划。这标志着网络犯罪进入新阶段。... 2026-1-20 19:45:19 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com voidlink development trae developer security

EU plans cybersecurity overhaul to block foreign high-risk suppliers 欧盟提出新网络安全法案，要求移除高风险供应商以保护电信网络，并加强防御针对关键基础设施的网络攻击。法案授权欧盟委员会组织风险评估并限制或禁止特定设备使用。修订后的《网络安全法案》将优化认证流程，并赋予欧盟网络安全局更多职责以应对威胁和提升技能。法案旨在保障欧洲技术主权和供应链安全。... 2026-1-20 19:0:19 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com european security enisa legislation

Gemini AI assistant tricked into leaking Google Calendar data 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，理解其主要信息。 文章讲的是研究人员如何利用自然语言指令绕过Google Gemini的安全防御，通过恶意提示注入攻击，创建误导性事件来泄露私人日历数据。攻击者发送一个带有恶意描述的活动邀请，当受害者询问日程时，Gemini会解析所有相关事件，包括恶意的。这样就能将敏感数据通过日历事件描述泄露出去。 接下来，我需要提取关键点：研究人员、自然语言指令、绕过防御、恶意提示注入、创建误导事件、泄露私人日历数据。然后把这些点浓缩成一句话，不超过100字。 可能的结构是：研究人员利用自然语言指令绕过Google Gemini的安全措施，通过恶意提示注入攻击创建误导性事件，从而泄露私人日历数据。 检查字数是否符合要求，并确保信息准确无误。 </think> 研究人员利用自然语言指令绕过Google Gemini的安全防御机制，通过恶意提示注入攻击创建误导性事件，从而泄露私人日历数据。... 2026-1-20 18:0:29 | 阅读: 0 | 收藏 | Over Security - Cybersecurity news aggregator - www.bleepingcomputer.com gemini miggo malicious security invite