自家钥匙都看不住，还帮别人看门？

3 月 16 日，安全社区研究人员对外披露，360 集团新近推出的 "360 安全龙虾 " 智能体客户端及硬件终端，暴露出一项重大安全疏漏：产品安装包内竟明文存储了泛域名 *.myclaw.360.cn 的 SSL 证书，以及对应的 RSA 私钥。这类漏洞极易被不法分子利用实施中间人攻击，消息曝光后，迅速引发网络安全行业的广泛热议与高度关注。

回溯事件始末，3 月 14 日 360 刚刚正式发布 "360 安全龙虾 " 智能体客户端与硬件终端，同步上线配套的 "360 龙虾卫士 "，主打针对性化解 OpenClaw 相关安全风险。产品发布现场，360 创始人周鸿祎还亲自演示全安装流程，着重强调这款新品的硬核安全防护性能，足以看出企业对产品安全性的重视。

可令人始料未及的是，新品发布仅隔两天，私钥明文泄露的问题就被公之于众，直接暴露了产品上线环节的严重安全管控漏洞。

私钥泄露事件发酵后，相关话题迅速登上社交平台热议榜，网友讨论热度居高不下，各类评价直指事件核心。有网友直言 " 早说 360 周鸿祎信不过 "，直白抒发对企业的信任质疑；也有网友用戏谑口吻调侃 " 安全龙虾出笼，结果忘了带虾壳 "，精准戳中此次安全疏漏的尴尬处境；更有网友反讽道 " 安全公司真安全哟 "，难掩对头部安全厂商出现此类低级失误的意外。还有网友理性点评：" 虽说不遭遇中间人攻击，短时间不会有太大实质影响，但作为专业安全公司，犯这种错误实在太离谱了 "，这番评价切中争议要害，也引发了大量网友的共鸣。

面对突发的安全舆情，360 方面第一时间发布官方回应，明确表示已火速完成涉事证书的吊销操作，目前该证书已彻底失效，无法被不法分子继续利用。针对事件根源，360 也作出澄清：此次问题并非产品设计或功能层面的固有缺陷，而是产品发布环节的操作失误，内部域名证书被意外打包进公开安装包，最终导致私钥泄露。

360 进一步补充，涉事证书吊销后，已从技术层面彻底阻断攻击者利用泄露私钥伪造服务器、劫持用户流量的潜在风险，普通用户正常使用产品不会受到实质性影响。与此同时，公司已启动内部全流程安全排查，后续将针对性优化产品发布管控流程，完善全链条安全管理机制，坚决杜绝同类安全疏漏再次发生。

此次事件也引爆了行业内，针对 AI 智能体产品发布安全标准的深度探讨。作为国内头部网络安全企业，360 推出的 " 安全龙虾 " 定位为 AI 智能体一键部署工具，初衷是降低普通用户与企业用户的本地 AI 部署门槛。但安全研究人员指出，泛域名证书搭配私钥明文存储，相当于给攻击者敞开了 " 后门 "，不法分子可轻易伪造合法服务器界面，诱导用户输入账号、密码等敏感信息，潜藏极高的安全风险。截至目前，360 已完成涉事证书吊销与内部初步排查，相关安全风险得到阶段性管控。

来源：星河商业观察