奇虎360在AI安装包中意外泄露自家通配符私钥

网络安全公司奇虎360在其新推出的AI助手“360 Security Claw”的公开安装包中，意外捆绑了自家的通配符SSL私钥。这一漏洞于2026年3月16日被发现，对于一家被超过4.61亿用户信赖、以保护用户数字生活为己任的公司而言，这是一次教科书级别的运维安全事故。

事件概述

Security Claw是基于OpenClaw浏览器框架定制的封装程序，其服务器域名为 https://myclaw.360.cn:19798。

研究员Lukasz Olejnik下载了该安装包并检查了目录结构，发现在以下路径中，一个未受保护的、生产级的通配符 TLS 私钥赫然在目：

./path/to/namiclaw/components/Openclaw/openclaw.7z/credentials

泄露详情

该证书由WoTrus CA Limited签发，其主题为 CN=*.myclaw.360.cn ——这是一个通配符证书，意味着它对myclaw[.]360[.]cn域名下的所有子域名在加密层面上均有效。

证书的有效期为2026年3月12日至2027年4月12日。通过运行OpenSSL模数检查，确认了与之匹配的RSA私钥：证书与密钥的MD5哈希值完全相同，证明它们是一对。

私钥泄露的风险

SSL/TLS私钥是HTTPS的加密基石。拥有它，攻击者便可实施多种高破坏性攻击：

• 中间人（MitM）拦截：静默解密用户与360 AI服务器之间的所有流量。

• 服务器假冒：架设一个假的 myclaw[.]360[.]cn 端点，而浏览器会因其证书而信任其为合法站点。

• 凭证窃取：伪造登录页面，捕获用户名和密码。

• AI会话劫持：完全拦截或篡改发送至AI后端的查询。

由于该密钥覆盖所有子域，破坏范围不仅限于单一端点。理论上，当安装包公开之时，整个 myclaw[.]360[.]cn 的基础设施就已处于危险之中。

后续影响

据公开披露后的消息，该证书已被吊销，普通用户不受影响。然而，由于OCSP（在线证书状态协议）的缓存机制，部分客户端可能仍会从缓存查询中收到“有效”的响应，这意味着吊销并非瞬时或普遍生效。