随着物联网技术深度融入家居、医疗、交通、农业等民生领域，其 “连接一切” 的特性正逐渐转化为 “风险扩散一切” 的隐患。2025 年，全球物联网安全事件呈现爆发式增长，从千万级设备沦陷的 BadBox 2.0 僵尸网络，到直接威胁患者生命的医疗设备漏洞；从窃取用户隐私的改装共享充电宝，到可操控车辆关键功能的车联网缺陷，攻击已覆盖个人消费端、行业应用端乃至国家关键基础设施，形成 “个人信息泄露 - 业务系统瘫痪 - 公共安全受胁” 的连锁风险链。这些事件暴露出物联网安全的共性短板：低成本设备普遍缺乏基础防护、老旧设备固件更新机制缺失、供应链安全管控形同虚设、云平台数据加密与访问控制失效。更值得警惕的是，AI 技术的恶意应用正推动攻击向自动化、自适应升级，而境外势力对关键基础设施的针对性攻击，进一步叠加了技术风险与地缘安全挑战。本报告梳理 2025 年十大典型物联网安全事件，从智能家居、监控系统、智慧农业、智慧城市、智能医疗、车联网等十大领域，剖析攻击技术路径、危害范围及防御短板，为个人用户、企业及监管机构提供风险参考，助力构建 “设备安全 - 数据防护 - 供应链管控 - 应急响应” 的全维度防御体系。

1. 智能家居安全告急：家庭IoT成高频攻击靶场

2025年，智能家居生态面临前所未有的安全承压，其中BadBox 2.0僵尸网络短时间内感染规模达百万至千万级别，劫持大量Android系列智能电视、电视盒、智能相框、投影仪及车载娱乐系统，沦为全球规模领先的消费类IoT僵尸网络，被广泛用于广告欺诈、代理服务及DDoS攻击等恶意活动。其技术实现依托多条传播链：部分设备在出厂或固件/应用预装阶段即被植入恶意软件，另有通过伪造/篡改应用、第三方应用市场或“驱动/应用下载”诱导安装等感染路径；受影响设备多为未通过Google Play Protect认证、缺乏及时安全更新的廉价AOSP设备，普遍存在默认凭证、固件验证薄弱等缺陷，易被攻击者长期驻留并持久化为系统级后门，进而沦为住宅代理或僵尸节点。此外，NETGEAR与Bitdefender联合分析显示，普通家庭平均配备约22台IoT设备，每24小时需抵御近29次扫描/攻击尝试，凸显设备数量激增、默认配置不当及供应链安全缺失，正将居家环境塑造成高频攻击面，为BadBox 2.0等大规模入侵提供温床。

2. 监控系统风险凸显：IP摄像头与NVR高危漏洞频发

大华科技（Dahua）IP摄像头及监控设备被曝出两项高危漏洞（CVE-2025-31700/CVE-2025-31701，CVSS评分均为8.1），覆盖IPC-1XXX、IPC-2XXX、IPC-WX、IPC-ECXX及SD3A、SD2A、SD3D、SDT2A、SD2C等126款主流型号。攻击者无需认证，仅向设备发送特制恶意网络数据包，即可触发缓冲区溢出漏洞实现远程代码执行（RCE），大概率获取root/系统级权限。被攻陷设备可被植入持久木马，用于远程窥视、视频流篡改、隐蔽监控，甚至作为内网跳板横向渗透。长期无人维护的固件、默认/弱口令滥用、云端及远程访问接口配置疏漏等，使IP摄像头与NVR成为易被规模化滥用的攻击面。此事件再度强调，在智能家居与监控系统快速普及的背景下，及时更新固件、关闭非必要公网访问、强化认证机制，是抵御此类风险的核心措施。

3. 智慧农业IoT隐患：云平台数据泄露触发供应链危机

一起针对农业用植物生长灯的IoT云平台大规模数据泄露事件，暴露物联网+云服务供应链的严重安全短板。此次泄露涉及约27亿条记录，包含Wi-Fi网络名称（SSID）、明文Wi-Fi密码、设备IP地址、设备ID/MAC、操作系统版本、API令牌、应用版本信息及设备日志、错误报告等核心数据。由于云数据库未配置任何访问控制策略及数据加密机制，攻击者通过公开链接即可全盘获取数据。受影响设备遍布全球，攻击者不仅可远程接管植物生长灯，更能借助泄露的Wi-Fi/网络凭证及设备标识侵入农场或温室内网，甚至以该设备为跳板攻击企业后台或云端管理系统。该事件直指智慧农业设备厂商在云端平台安全设计、访问控制、数据加密及日志审计等方面的结构性缺失，凸显供应链与云服务管理的重大风险。

4. 智慧城市基础设施：境外攻击触发安全预警

1-2月哈尔滨亚冬会期间，赛事信息系统及黑龙江省关键信息基础设施遭受境外攻击超27万次，攻击源主要来自美国、荷兰等国家和地区，攻击强度在赛事核心阶段显著攀升。攻击者采用多类技术手段实施精准打击，包括通过网络资产探测与批量端口扫描获取系统指纹信息，利用文件读取漏洞、SQL注入、HTTP协议头X-Forwarded-For字段伪造等Web攻击手法尝试入侵，部分攻击还借助荷兰、德国等欧洲国家云主机作为跳板机，掩盖攻击源头，凸显出政府支持背景的攻击特征。

5. 智能医疗（IoMT）：设备漏洞直接威胁患者生命安全

智能医疗物联网（IoMT）设备领域频发重大网络安全事件，攻击聚焦硬编码后门、固件漏洞及供应链缺陷，直接触碰患者生命安全红线，暴露行业设备全生命周期安全管理的系统性不足。年初，美国CISA与FDA联合发布高危预警，指出中国康泰医疗（Contec）CMS8000型号患者监护仪存在三大致命漏洞（隐藏后门CVE-2025-0626、越界写入CVE-2024-12248、数据泄露CVE-2025-0683），攻击者可利用硬编码IP地址绕过配置，实现远程控制、恶意文件上传，还能截取明文传输的患者隐私信息（PII/PHI）。该漏洞影响全球数万台在院设备，部分医疗机构因设备失控导致监护数据异常，险些延误重症患者救治。年中，《npj Digital Medicine》研究披露，植入式心脏复律除颤器（ICD）、智能胰岛素泵等贴身IoMT设备存在供应链植入的硬件后门（CVE-2024-12248），攻击者可通过特制UDP请求触发漏洞执行远程代码，篡改治疗参数，而全球化供应链导致设备组件来源涉及数十个国家，溯源与防护难度极大。年末，全球性IoMT设备泄露事件曝光，超100万台医疗设备因未启用身份认证、缺乏网络隔离被公网暴露，MRI扫描、血检报告等敏感数据可被随意访问，黑产市场中患者医疗信息单价飙升至数百美元。行业数据显示，89%的医疗机构网络存在高风险IoMT设备，9%的设备携带已知可利用漏洞（KEVs），且厂商需经FDA审批才能推送补丁，漏洞修复周期长达数月，给攻击者留下充足窗口期。

6. 智能设备与 IoT：三星 MagicINFO 及 GeoVision 漏洞被用于部署 Mirai 僵尸网络

物联网（IoT）设备的广泛应用与老旧设备的安全维护缺位，正持续放大网络安全风险。2025 年 4 月至 5 月期间，黑客先后针对 GeoVision 已终止支持（EoL）的 IoT 设备和三星 MagicINFO 9 服务器的安全漏洞发起攻击，用以部署 Mirai 僵尸网络，进而开展分布式拒绝服务（DDoS）攻击。在针对 GeoVision 设备的攻击中，黑客由 Akamai 安全智能与响应团队（SIRT）于 2025 年 4 月初首次发现，其利用了两个操作系统命令注入漏洞（CVE-2024-6047 和 CVE-2024-11120，CVSS 评分均为 9.8），通过设备的/DateSetting.cgi端点，向szSrvIpAddr参数中注入恶意指令，下载并执行 ARM 版本的 Mirai 恶意软件 LZRD。除此之外，该僵尸网络还被发现利用了 Hadoop YARN 漏洞（CVE-2018-10561）以及 2024 年 12 月披露的 DigiEver 相关漏洞，且有证据表明该攻击活动与此前的 InfectedSlurs 攻击存在关联。由于涉事 GeoVision 设备已属淘汰型号，基本无获得厂商补丁更新的可能，相关用户只能通过升级至新型号设备来规避威胁。与此同时，三星 MagicINFO 9 服务器也遭遇 Mirai 僵尸网络的针对性攻击，该攻击在 SSD Disclosure 于 2025 年 4 月 30 日发布相关漏洞概念验证（PoC）后不久便被观测到。起初该活动被认为与路径遍历漏洞 CVE-2024-7399（CVSS 评分 8.8）相关，但后续 Huntress 等安全厂商的研究证实，实际被利用的是一个尚未完成补丁修复的全新漏洞。该漏洞允许未授权攻击者向服务器写入任意文件，若上传特制的 JavaServer Pages（JSP）文件，即可实现远程代码执行，且即便是三星 MagicINFO 9 服务器的最新版本（21.1050.0）也无法幸免，其此前 2024 年 8 月的补丁被证实要么修复不彻底，要么针对的是另一相似漏洞。目前针对该漏洞最可靠的缓解措施，是将相关受影响服务从公网中移除。值得注意的是，美国网络安全与基础设施安全局（CISA）已将两个 GeoVision 漏洞纳入已知被利用漏洞（KEV）目录，要求联邦机构在 2025 年 5 月 28 日前完成修复，若无修复方案则需停用相关产品。此次系列攻击暴露了 IoT 设备及相关管理系统在安全防护上的多重缺口，包括老旧设备固件缺乏持续安全维护、新型系统漏洞修复不及时、公网暴露的服务缺乏有效隔离机制等，印证了 “未妥善加固的老旧固件与未及时修补的新型系统漏洞，是黑客组建僵尸网络的核心突破口” 这一行业共性问题。

7. 共享充电宝窃密：硬件植入开辟物理攻击新路径

国家安全部披露境外情报机构通过改装共享充电宝实施窃密的典型案例，凸显物理设备滥用的新型安全威胁。攻击者利用共享充电宝生产、销售、投放链条长、监管薄弱的漏洞，秘密植入指甲盖大小的微型计算芯片与低功耗无线传输模块，构建“硬件后门+数据窃取+远程传输”的完整窃密链路。用户连接手机充电时，植入芯片自动激活并建立隐蔽数据通道，绕过设备初始安全校验，充电同时同步窃取通讯录、照片、社交账号、支付信息等敏感数据；部分高性能改装设备30秒内即可完成海量数据抓取，测试显示同类设备10秒内可提取1.2GB手机数据。为实现深度控制，攻击者还利用用户电量告急的焦虑心理，通过技术手段弹出“信任设备”“允许USB调试”等诱导性提示，诱使用户授权高危权限——一旦确认，即可彻底突破手机系统防护，远程操控摄像头、麦克风，甚至植入木马病毒与后门程序。即便断开充电连接，恶意程序仍可在后台持续运行72小时以上，将手机变为全天候窃听窃视终端。

8. AI赋能物联网威胁：自动化攻击重塑攻击格局

AI技术的恶意应用推动IoT攻击向规模化、自动化升级，彻底改变传统攻击模式与破坏力。2025年，美国某零售连锁遭遇AI驱动的僵尸网络攻击，各门店部署的智能库存跟踪器被批量劫持操控，攻击者通过篡改实时库存数据，导致供应链调度紊乱、订单错发漏发及促销活动失控，最终造成约400万美元损失。此次攻击呈现AI赋能的全流程自动化链路：攻击者先利用受感染设备组建的僵尸网络，收集海量IoT设备运行日志、通信协议及配置信息；通过机器学习（ML）算法深度挖掘数据集，自动识别智能库存跟踪器的核心弱点，包括未打补丁的固件漏洞、权限松散的API接口及默认弱密码等；随后借助生成式AI生成适配不同设备型号的漏洞利用代码，同步启动AI驱动的大规模凭证填充攻击，模拟合法用户行为规避风控检测，短时间内完成数千台设备的批量渗透控制。更值得警惕的是，攻击过程中AI系统实时分析目标网络防御策略，动态调整攻击向量与流量特征，如伪造合法业务数据流量掩盖恶意操作，使传统基于签名的入侵检测系统（IDS）难以识别，显著提升攻击隐蔽性与成功率。行业预测显示，2025年40%的IoT漏洞涉及AI增强攻击，这类攻击凭借自适应、规模化、隐蔽性优势，让依赖静态规则与已知威胁特征的传统防御手段疲于应对，凸显物联网安全防御向智能化、动态化转型的迫切性。

9. 车联网与自动驾驶：全链条风险威胁驾乘安全

2025年车联网领域安全事件频发，攻击覆盖智能座舱、车载控制系统、路侧基础设施全链条，呈现“供应链渗透、多路径攻击、危害连锁化”特征，直接威胁用户隐私与驾乘安全，部分事件引发公共交通秩序混乱。年初，国内多地爆发智能座舱隐私泄露事件，多款新能源汽车因过度收集用户数据且防护缺失，导致车内麦克风录音、摄像头影像、行程轨迹等敏感信息流入黑市，甚至被车企违规用于商业营销，涉及用户超200万人，黑产市场中“车主录音包”“生物特征数据”明码标价，形成完整黑产链条。年中，Hardware.io安全大会披露起亚部分车型重大漏洞，攻击者可通过U盘、蓝牙或伪装OTA更新推送含恶意代码的PNG图片，利用车载RTOS固件缺陷注入指令，伪造CAN总线数据帧，实现对车辆刹车、转向等关键功能的远程操控；而系统薄弱的固件校验机制（1字节CRC校验）及串口日志泄露的敏感信息，进一步降低攻击门槛。下半年，卡巴斯基曝光某车企联网车辆大规模沦陷事件，攻击者利用承包商Wiki应用的零日SQL注入漏洞获取用户凭据，横向渗透后掌控车载远程信息系统，可通过篡改固件操控发动机、变速箱等核心部件，暴露车企对第三方供应链的安全管控缺失。此外，路侧单元（RSU）成为攻击新靶点：某城市主干道RSU集群遭勒索病毒入侵，攻击者破解弱口令并利用未修复的Linux内核漏洞植入恶意程序，导致交通信号控制失灵引发区域性瘫痪；部分RSU被供应链植入固件后门，发送虚假路况信息导致自动驾驶车辆紧急制动追尾。这些事件共同揭示，车联网在数据采集合规性、设备固件安全、供应链防护、路侧基础设施管控等方面存在多重短板，传统防御难以应对多维度、智能化攻击。

10. 智能零售IoT：全链路渗透引发业务与数据双重危机

智能零售物联网设备成为网络攻击核心靶点，多起事件暴露固件漏洞、默认凭证滥用、数据加密缺失等共性问题，攻击已从单一设备入侵升级为“端-管-云”全链路渗透，直接引发业务中断、数据泄露及黑产利用等连锁风险。据Forescout年度报告，零售业以9.2的风险评分位居各行业设备风险榜首，智能POS机、网络摄像头、边缘网关等成为主要攻击载体。二季度，全球多地连锁超市爆发智能POS机批量入侵事件，攻击者利用未修复的CVE-2025-1171远程代码执行漏洞，结合62%设备未启用内存加密的缺陷，通过RAM抓取工具窃取信用卡明文数据，涉及用户超百万，黑产链条以5-20美元/条的价格批量兜售支付信息。三季度，美国多家零售门店部署的Edimax IC-7100监控摄像头遭Mirai变种僵尸网络劫持，攻击者利用默认凭证突破认证，借助CVE-2025-1316命令注入漏洞执行恶意脚本，将设备纳入僵尸网络，部分门店因摄像头视频流被劫持，导致收银台、仓库等敏感区域影像泄露。年末，国内某生鲜零售品牌因边缘网关配置缺陷引发大规模数据泄露，连接智能货架、冷链传感器的网关未启用通信加密且缺乏网络隔离，攻击者入侵后获取27亿条设备日志，包含门店Wi-Fi明文密码、设备IP及用户消费轨迹，部分数据被用于后续“近邻攻击”，精准渗透门店内部网络。这些事件印证，智能零售物联网设备“重功能、轻安全”的现状，已成为网络攻击主要突破口，且攻击手段呈现明显自动化、规模化特征。