安全龙虾没“虾壳”!360私钥泄露引发安全质疑
创始人
2026-03-19 00:23:30

自家钥匙都看不住,还帮别人看门?

3月16日,安全社区研究人员对外披露,360集团新近推出的“360安全龙虾”智能体客户端及硬件终端,暴露出一项重大安全疏漏:产品安装包内竟明文存储了泛域名*.myclaw.360.cn的SSL证书,以及对应的RSA私钥。这类漏洞极易被不法分子利用实施中间人攻击,消息曝光后,迅速引发网络安全行业的广泛热议与高度关注。

回溯事件始末,3月14日360刚刚正式发布“360安全龙虾”智能体客户端与硬件终端,同步上线配套的“360龙虾卫士”,主打针对性化解OpenClaw相关安全风险。产品发布现场,360创始人周鸿祎还亲自演示全安装流程,着重强调这款新品的硬核安全防护性能,足以看出企业对产品安全性的重视。

可令人始料未及的是,新品发布仅隔两天,私钥明文泄露的问题就被公之于众,直接暴露了产品上线环节的严重安全管控漏洞。

私钥泄露事件发酵后,相关话题迅速登上社交平台热议榜,网友讨论热度居高不下,各类评价直指事件核心。有网友直言“早说360周鸿祎信不过”,直白抒发对企业的信任质疑;也有网友用戏谑口吻调侃“安全龙虾出笼,结果忘了带虾壳”,精准戳中此次安全疏漏的尴尬处境;更有网友反讽道“安全公司真安全哟”,难掩对头部安全厂商出现此类低级失误的意外。还有网友理性点评:“虽说不遭遇中间人攻击,短时间不会有太大实质影响,但作为专业安全公司,犯这种错误实在太离谱了”,这番评价切中争议要害,也引发了大量网友的共鸣。

面对突发的安全舆情,360方面第一时间发布官方回应,明确表示已火速完成涉事证书的吊销操作,目前该证书已彻底失效,无法被不法分子继续利用。针对事件根源,360也作出澄清:此次问题并非产品设计或功能层面的固有缺陷,而是产品发布环节的操作失误,内部域名证书被意外打包进公开安装包,最终导致私钥泄露。

360进一步补充,涉事证书吊销后,已从技术层面彻底阻断攻击者利用泄露私钥伪造服务器、劫持用户流量的潜在风险,普通用户正常使用产品不会受到实质性影响。与此同时,公司已启动内部全流程安全排查,后续将针对性优化产品发布管控流程,完善全链条安全管理机制,坚决杜绝同类安全疏漏再次发生。

此次事件也引爆了行业内,针对AI智能体产品发布安全标准的深度探讨。作为国内头部网络安全企业,360推出的“安全龙虾”定位为AI智能体一键部署工具,初衷是降低普通用户与企业用户的本地AI部署门槛。但安全研究人员指出,泛域名证书搭配私钥明文存储,相当于给攻击者敞开了“后门”,不法分子可轻易伪造合法服务器界面,诱导用户输入账号、密码等敏感信息,潜藏极高的安全风险。截至目前,360已完成涉事证书吊销与内部初步排查,相关安全风险得到阶段性管控。

来源:星河商业观察

相关内容

热门资讯

APEC数字周明天在四川成都开... 7月15日,外交部发言人林剑主持例行记者会。 有记者提问,我们注意到,APEC数字周明天将在四川成都...
消息称交友应用Soul将推出首... IT之家 7 月 15 日消息,据“读佳”报道,交友应用 Soul 将推出首款便携式 AI 智能硬件...
内存价格大涨!三星旗舰手机不再... 快科技7月15日消息,从Galaxy S23系列开始,三星历代旗舰机型都会为用户提供免费升杯计划。凡...
田埂上开“处方” 省市县专家下... 今年第9号台风“巴威”过境,给温州农业生产带来较大影响,我市多地种植业、畜牧业、渔业不同程度受灾。为...
猿辅导马旻出席2026中国互联... 日前,2026中国互联网大会在北京举办,聚焦人工智能与数字新消费的深度融合。猿辅导副总裁马旻应邀出席...