近日,360公司旗下AI产品“360安全龙虾”陷入安全争议。有消息指出,该产品安装包中意外包含了*.myclaw.360.cn泛域名的SSL私钥与证书,这一疏漏迅速引发行业和用户对信息安全的广泛关注。
据了解,360安全龙虾是国内首款以“安全模式”为核心设计的OpenClaw智能体产品,旨在解决当前OpenClaw普及过程中面临的“安装难、维护复杂、稳定性差、安全隐患多”四大核心问题。该系列产品通过“出厂满血、全能守护”的综合方案,已接入16家国内主流大模型,并整合超过2.1万个开源技能与工具,为用户提供一站式服务。
3月14日,360集团正式推出“360安全龙虾”智能体应用客户端及硬件终端“360安全龙虾Box”,并同步发布针对OpenClaw安全问题的专项防护工具“360龙虾卫士”。然而,产品发布后不久,即被曝出安装包中存在安全证书配置错误的问题。
针对这一事件,360公司迅速回应称,已第一时间吊销涉事证书,目前该证书已失效,普通用户使用不受影响。公司解释,问题源于发布环节的操作失误,导致内部测试用的网站证书被误打包进正式安装包。发现漏洞后,技术团队立即采取应急措施,完成证书吊销并升级防护机制,从技术层面杜绝了攻击者利用私钥伪造服务器或劫持流量的风险。
此次事件虽未造成实际用户损失,但再次凸显了AI产品在安全部署环节的敏感性。业内人士指出,随着智能体技术的快速发展,企业需在产品迭代中建立更严格的安全审核流程,尤其在涉及证书管理、权限控制等关键环节,需通过自动化工具与人工复核相结合的方式降低人为失误风险。
