【密钥泄露】奇虎360全新的AI安全工具暴露了SSL私钥

奇虎360无意中在其新推出的AI助手安装程序中泄露了一个生产中的SSL私钥。

该密钥保护了*.myclaw.360.cn 域名，可能允许攻击者冒充官方服务并拦截加密通信。

该问题由安全研究员Lukasz Olejnik发现，他报告称在上周由中国网络安全公司发布的AI驱动工具“360安全爪”安装包中发现了私钥。据Olejnik称，该密钥位于安装程序执行文件（namiclaw.exe）的凭据目录中，任何下载该软件包的人都能访问。

暴露的钥匙@lukOlejnik

SSL私钥是HTTPS加密的关键组成部分，用于服务器认证以及保护用户与在线服务之间的通信。此类密钥的暴露实际上会破坏受影响领域的信任模型。在本案中，泄露的通配证书有效期至2027年4月，涵盖了 myclaw.360.cn 所有子域名，显著扩大了潜在攻击面。

通过获得私钥，威胁行为者可以实施中间人攻击（MITM），解密截获的流量，或创建看似合法的Qihoo 360服务的令人信服的钓鱼页面。在更高级的场景下，攻击者可能操控用户与AI助手之间的通信，破坏隐私和完整性。

奇虎360是中国最大的网络安全厂商之一，常被拿来与诺顿或麦卡菲等公司比较，拥有数亿用户，并在终端保护和互联网安全产品领域拥有强大的影响力。

截至目前，尚无公开迹象表明奇虎360已撤销暴露证书或作出正式回应，这使用户可能处于风险之中。密钥有效且未被撤销的时间越长，在现实世界攻击中被滥用的风险就越大。

作为预防措施，用户应避免与受影响服务互动，直到证书被撤销并更换。依赖奇虎360产品的组织应监控涉及 myclaw.360.cn 域的可疑网络活动，并考虑在可能的情况下实施证书钉钉或额外的验证层。

安情视界——洞见未来，智掌先机，持续追踪全球安全动态，精准解读政策与事件，深度预测研判趋势，护航企业全球化征程。