3月16日晚,360公司就旗下"安全龙虾"产品私钥泄露事件作出正式回应。
公司表示已第一时间吊销涉事SSL证书,该证书目前已完全失效,从技术层面有效阻断了攻击者利用私钥伪造服务器、劫持流量的可能性。
360强调,普通用户不会因此次事件受到影响。
事件起因于产品发布环节的操作失误。
据了解,360在打包"安全龙虾"公开安装包时,意外将内部域名的网站证书及对应RSA私钥一并包含其中。
安全研究人员在解压安装包时发现,特定路径下存在明文存储的泛域名SSL证书和私钥。
作为核心安全凭证,私钥泄露的危害不容小觑。
攻击者理论上可借此伪造相关域名的HTTPS服务,实施中间人攻击,进而窃取用户数据、传播恶意程序。
对于以网络安全为核心业务的厂商而言,这类疏漏被业界视为较为严重的安全管理缺陷。
"安全龙虾"是360在3月14日推出的新产品,定位为OpenClaw智能体的一键部署工具。
OpenClaw是一个开源框架,因可实现自动办公、系统操作、API调用等多元化功能,被网友称为"全能AI打工人"。
自今年年初以来,OpenClaw在国内科技圈迅速走红,近期更是掀起全民"养龙虾"热潮。
百度举办"龙虾市集"吸引千人排队安装,腾讯在办公大厦楼下提供免费部署服务,适配OpenClaw的Mac mini出现全国断货现象。
多地政府也密集出台扶持政策,产业链热度持续飙升。
然而,热潮背后隐藏着不容忽视的安全风险。
国家互联网应急中心、工信部此前已先后发布安全预警,指出OpenClaw存在默认安全配置薄弱、公网暴露、密钥泄露、插件投毒等多重隐患。
全球已有多个OpenClaw实例遭黑客攻击。
此次360私钥泄露事件,进一步印证了这些风险的现实性。
针对此次事件,360已启动内部排查流程,并表示将进一步优化安全管理机制,防范类似疏漏再次发生。
公司创始人周鸿祎曾强调,"安全永远是配角,它的使命是为数字化、智能化保驾护航"。
"360龙虾卫士"作为安全龙虾的原生安全组件,通过虚拟化沙箱隔离运行环境,将智能体执行空间与用户数据分离,并借助AI安全引擎识别恶意技能、异常指令以及潜在漏洞,主动拦截技能投毒、提示词注入等攻击行为。
当技术革新浪潮与安全保障能力形成"时间差",每个疏漏都可能演变为系统性风险。
360此次事件犹如一面镜子,既照见企业安全管理的薄弱环节,更折射出智能时代安全治理的共性挑战。
在数字化与智能化深度融合的今天,唯有将安全基因植入技术研发全流程,方能为创新浪潮筑牢堤坝。