安全龍蝦沒“蝦殼”！360私鑰泄露引發安全質疑

自家鑰匙都看不住，還幫別人看門？

3月16日，安全社區研究人員對外披露，360集團新近推出的“360安全龍蝦”智能體客戶端及硬件終端，暴露出一項重大安全疏漏：產品安裝包內竟明文存儲了泛域名*.myclaw.360.cn的SSL證書，以及對應的RSA私鑰。這類漏洞極易被不法分子利用實施中間人攻擊，消息曝光后，迅速引發網絡安全行業的廣泛熱議與高度關注。

回溯事件始末，3月14日360剛剛正式發布“360安全龍蝦”智能體客戶端與硬件終端，同步上線配套的“360龍蝦衛士”，主打針對性化解OpenClaw相關安全風險。產品發布現場，360創始人周鴻祎還親自演示全安裝流程，著重強調這款新品的硬核安全防護性能，足以看出企業對產品安全性的重視。

可令人始料未及的是，新品發布僅隔兩天，私鑰明文泄露的問題就被公之于眾，直接暴露了產品上線環節的嚴重安全管控漏洞。

私鑰泄露事件發酵后，相關話題迅速登上社交平臺熱議榜，網友討論熱度居高不下，各類評價直指事件核心。有網友直言“早說360周鴻祎信不過”，直白抒發對企業的信任質疑；也有網友用戲謔口吻調侃“安全龍蝦出籠，結果忘了帶蝦殼”，精準戳中此次安全疏漏的尷尬處境；更有網友反諷道“安全公司真安全喲”，難掩對頭部安全廠商出現此類低級失誤的意外。還有網友理性點評：“雖說不遭遇中間人攻擊，短時間不會有太大實質影響，但作為專業安全公司，犯這種錯誤實在太離譜了”，這番評價切中爭議要害，也引發了大量網友的共鳴。

面對突發的安全輿情，360方面第一時間發布官方回應，明確表示已火速完成涉事證書的吊銷操作，目前該證書已徹底失效，無法被不法分子繼續利用。針對事件根源，360也作出澄清：此次問題并非產品設計或功能層面的固有缺陷，而是產品發布環節的操作失誤，內部域名證書被意外打包進公開安裝包，最終導致私鑰泄露。

360進一步補充，涉事證書吊銷后，已從技術層面徹底阻斷攻擊者利用泄露私鑰偽造服務器、劫持用戶流量的潛在風險，普通用戶正常使用產品不會受到實質性影響。與此同時，公司已啟動內部全流程安全排查，后續將針對性優化產品發布管控流程，完善全鏈條安全管理機制，堅決杜絕同類安全疏漏再次發生。

此次事件也引爆了行業內，針對AI智能體產品發布安全標準的深度探討。作為國內頭部網絡安全企業，360推出的“安全龍蝦”定位為AI智能體一鍵部署工具，初衷是降低普通用戶與企業用戶的本地AI部署門檻。但安全研究人員指出，泛域名證書搭配私鑰明文存儲，相當于給攻擊者敞開了“后門”，不法分子可輕易偽造合法服務器界面，誘導用戶輸入賬號、密碼等敏感信息，潛藏極高的安全風險。截至目前，360已完成涉事證書吊銷與內部初步排查，相關安全風險得到階段性管控。

來源：星河商業觀察