3月16日晚,针对旗下产品“360安全龙虾”被曝私钥泄露一事,360公司作出正式回应,明确表示已第一时间吊销涉事SSL证书,目前该证书已完全失效,从技术层面阻断了攻击者利用该私钥伪造服务器、劫持流量的可能,普通用户不会受到此次事件影响。
360方面解释,此次私钥泄露源于产品发布环节的操作失误,导致内部域名的网站证书被意外打包至公开安装包中,公司已启动内部排查流程,将进一步优化安全管理机制,防范类似疏漏再次发生。
3月14日,360集团宣布推出“360安全龙虾”智能体应用客户端及“360安全龙虾Box”硬件终端,并发布专门应对OpenClaw(龙虾)安全问题的“360龙虾卫士”。
该产品定位为OpenClaw智能体的一键部署工具,核心功能是降低AI智能体的本地部署门槛,面向普通用户与企业用户提供便捷服务。
当天,360在总部园区特设了免费装“龙虾”活动,创始人周鸿祎还在现场演示为用户安装部署“360安全龙虾”。
“360龙虾卫士”作为360安全龙虾的原生安全组件,通过虚拟化沙箱(WSL)隔离运行环境,将智能体执行空间与用户数据进行分离,并借助AI安全引擎识别恶意技能、异常指令以及潜在漏洞,从而主动拦截技能投毒、提示词注入等攻击行为。
周鸿祎还强调,“安全永远是配角,它的使命是为数字化、智能化保驾护航,我们不会做过度拦截,不打扰用户的正常使用,只解决核心安全问题。”
但两天后,3月16日,安全社区研究人员在解压该产品安装包时,发现其特定路径下存在明文存储的泛域名SSL证书及对应RSA私钥。
作为核心安全凭证,该证书的私钥一旦泄露,攻击者理论上可借此伪造相关域名的HTTPS服务,实施中间人攻击,进而窃取用户数据、传播恶意程序等。
作为以网络安全为核心业务的厂商,360此次将内部私钥意外打包进公开安装包,被行业内视为较为严重的安全疏漏。
OpenClaw(俗称“龙虾”)开源框架,因可实现自动办公、系统操作、API调用等多元化功能,被网友称为“全能AI打工人”,自今年年初起迅速席卷国内科技圈,近期还掀起了全民“养龙虾”的热潮。
相关产业链热度飙升,百度举办“龙虾市集”吸引千人排队安装,腾讯在办公大厦楼下提供免费部署服务,适配OpenClaw的Mac mini出现全国断货、二手市场溢价的现象。政策层面,多地政府也密集出台扶持政策。
但热潮背后,OpenClaw的安全隐患也已显现。国家互联网应急中心、工信部此前已先后发布安全预警,指出其默认安全配置薄弱,存在公网暴露、密钥泄露、插件投毒等风险,目前全球已有多个OpenClaw被黑客攻击实例。
此次360出现私钥泄露,也突显出AI智能体快速普及过程中,厂商安全管理的紧迫性。
