夜雨聆风昨日,有网友意外发现,“360安全龙虾”安装包中竟包含360公司内部的SSL私钥与证书。
该私钥对应域名为*.myclaw.360.cn,属于通配符证书。
这意味着,它可作用于该域名下的所有子站点。
面对这一安全疏漏,360公司迅速作出回应。
公司向第一财经表示,已在第一时间对涉事证书进行吊销处理。
360方面进一步解释称,此次问题源于发布环节的失误。
由于操作不当,一枚内部域名的网站证书被意外打包进了安装包。
发现问题后,公司立即启动应急机制,迅速完成证书吊销。
从技术层面看,此举已阻断攻击者利用该私钥伪造服务器、劫持流量的可能。
目前,该证书已失效,普通用户不会因此受到影响。
据官方介绍,“360安全龙虾”的界面采用定制版浏览器,其调用地址涉及对本地服务的HTTPS加密连接。
有技术分析指出,通常情况下,处理本地连接的正确方式有两种。
一种是使用自签名证书,另一种是采用HTTP明文访问。
直接将包含私钥的网站证书置于本地环境中,虽能实现连接目的,却直接导致了密钥泄露。
就在几天前,360集团正式推出“360安全龙虾”智能体应用客户端,同时发布的,还有“360安全龙虾Box”硬件终端。
此外,专门应对OpenClaw安全问题的“360龙虾卫士”也一同亮相。
在总部园区,360特设了免费装“龙虾”活动。
现场吸引了数百名群众热情参与,360集团创始人周鸿祎更是亲自下场,化身“AI工程师”,为现场用户安装部署“360安全龙虾”。
360安全龙虾将一复杂流程整合为一键安装,原本需要数小时甚至数天的配置过程,被压缩到10分钟内完成,实现了开箱即用。
在安全防护方面,“360龙虾卫士”也有独特设计。
它采用“最小权限原则”和“人在回路”的核心防护策略。
在不影响OpenClaw正常学习和执行能力的前提下,通过实时监控识别潜在风险,同时,借助AI安全模型,构建起“以模治模”的智能防护机制。
这样,既保障了运行效率,又为智能体建立了清晰的安全边界。
此外,“360安全龙虾”还提供了分级权限管理。
新手与高级用户可享有不同权限,客户端支持一键彻底卸载。
即使是360安全龙虾自身,也能够完全删除,这确保了用户始终对系统拥有充分的控制权。
对于对数据安全要求更高的机构用户,360也推出了专门方案。
“360安全龙虾Box”硬件设备,通过物理级隔离方式部署OpenClaw系统,它可实现本地算力运行,确保数据不出内网,为政企机构提供了更加安全可控的人工智能应用环境。
另外,360还宣布启动“360安全龙虾全国巡装”计划。
公司计划组建千人“AI龙虾工程师”团队,在全国范围开展AI智能体安装服务和技术交流活动。
该计划将通过地方龙虾大会、现场沉浸式安装等形式,推进AI智能体应用落地。