近日,360公司旗下AI產品“360安全龍蝦”陷入安全爭議。有消息指出,該產品安裝包中意外包含了*.myclaw.360.cn泛域名的SSL私鑰與證書,這一疏漏迅速引發行業和用戶對信息安全的廣泛關注。
據了解,360安全龍蝦是國內首款以“安全模式”為核心設計的OpenClaw智能體產品,旨在解決當前OpenClaw普及過程中面臨的“安裝難、維護復雜、穩定性差、安全隱患多”四大核心問題。該系列產品通過“出廠滿血、全能守護”的綜合方案,已接入16家國內主流大模型,并整合超過2.1萬個開源技能與工具,為用戶提供一站式服務。
3月14日,360集團正式推出“360安全龍蝦”智能體應用客戶端及硬件終端“360安全龍蝦Box”,并同步發布針對OpenClaw安全問題的專項防護工具“360龍蝦衛士”。然而,產品發布后不久,即被曝出安裝包中存在安全證書配置錯誤的問題。
針對這一事件,360公司迅速回應稱,已第一時間吊銷涉事證書,目前該證書已失效,普通用戶使用不受影響。公司解釋,問題源于發布環節的操作失誤,導致內部測試用的網站證書被誤打包進正式安裝包。發現漏洞后,技術團隊立即采取應急措施,完成證書吊銷并升級防護機制,從技術層面杜絕了攻擊者利用私鑰偽造服務器或劫持流量的風險。
此次事件雖未造成實際用戶損失,但再次凸顯了AI產品在安全部署環節的敏感性。業內人士指出,隨著智能體技術的快速發展,企業需在產品迭代中建立更嚴格的安全審核流程,尤其在涉及證書管理、權限控制等關鍵環節,需通過自動化工具與人工復核相結合的方式降低人為失誤風險。
