360龙虾“带毒”上市?私钥泄露致周鸿祎安全神话告急
以安全起家的360公司及其创始人周鸿祎,正因其新推出的AI智能体产品“360安全龙虾”而面临严峻的声誉考验。近日,这款产品被曝出存在重大安全疏漏:其安装包中竟直接内置了公司泛域名(*.myclaw.360.cn)的SSL私钥与证书,这一事件迅速引发了行业对信息安全的普遍担忧。

事件的核心在于,SSL私钥是保障网络通信安全的关键凭证,其作用相当于服务器在数字世界的“身份证”和“钥匙”。一旦泄露,攻击者便可利用该私钥伪造360的官方服务器,进行流量劫持、窃听用户数据等中间人攻击,其潜在风险被业内人士评价为“灾难级、教科书式的反面教材”。有技术分析指出,该证书有效期直至2027年,若非及时处理,后果不堪设想。
对此,360公司迅速作出回应。公司承认,问题源于产品发布环节的操作失误,导致一个内部域名的网站证书被意外打包进安装包。在发现问题后,360已在第一时间采取应急措施,吊销了该涉事证书,并表示证书失效后,攻击者已无法利用该漏洞伪造服务器,因此普通用户不会受到影响。
然而,这一事件的发生,恰与周鸿祎近期对AI时代安全挑战的高调预警形成了鲜明对比。在不久前的一次公开演讲中,周鸿祎曾强调AI正彻底改变网络安全格局,“黑客智能体”已经出现,它们能自动化地挖掘和利用漏洞,使得网络攻防失衡加剧。他提出,360的核心战略是“以AI对抗AI”。讽刺的是,其力推的AI智能体产品自身却因一个基础但致命的安全错误而“带毒”,这无疑让360的安全神话蒙上了一层阴影。
在后续的媒体交流会上,周鸿祎本人也正面回应了“龙虾”争议。他将“龙虾”(即开源AI智能体OpenClaw的昵称)定位为推动AI应用落地的好工具,而非病毒,并认为新技术出现争议是正常现象,“不发展才是最大的安全隐患”。他同时坦承,以OpenClaw为代表的AI智能体仍处于发展初期,如同需要严加看管和持续训练的“实习生”,使用门槛高且安全机制有待完善,并提醒用户“养龙虾,需谨慎”,切勿向智能体泄露密码等敏感信息。
事实上,官方机构也已注意到此类AI智能体的潜在风险。国家互联网应急中心等部门已发布风险提示,指出这类工具通常需要获取较高的系统权限,若配置不当或被利用,可能导致数据泄露和系统被控。
为了弥补此次失误并为行业树立标杆,360集团迅速发布了《OpenClaw安全部署与实践指南》,系统性地分析了AI智能体面临的提示词注入、第三方插件供应链风险、权限滥用等多种新型安全挑战。指南提出了“先可控、再提效”的原则,并为个人开发者和企业用户分别提供了基于容器化隔离和零信任架构的安全部署方案,旨在为这项新兴技术的发展打好安全基础。
此次“安全龙虾”证书泄露事件,不仅暴露了360在产品开发流程中的疏漏,也集中反映了AI智能体技术在快速发展中所伴生的新型安全挑战。对于以安全为立身之本的360而言,如何将“用AI对抗AI”的宏大叙事落实到每一个产品细节,并真正为用户与行业“补上安全这一课”,将是其必须面对和回答的关键问题。

老周师傅
校验提示文案
猪德宝
校验提示文案
值友7630801218
校验提示文案
漏气
校验提示文案
yealym
校验提示文案
martinlock
归根到底一切安全问题都是人的问题
要做国内安全一哥,还得抓管理
校验提示文案
是你啊小姨妈
校验提示文案
wang124578
校验提示文案
值友4236700111
校验提示文案
morph
校验提示文案
值友7662124915
校验提示文案
如此怀念的1983
校验提示文案
我用翼89
校验提示文案
我用翼89
校验提示文案
如此怀念的1983
校验提示文案
值友7662124915
校验提示文案
morph
校验提示文案
值友4236700111
校验提示文案
wang124578
校验提示文案
martinlock
归根到底一切安全问题都是人的问题
要做国内安全一哥,还得抓管理
校验提示文案
yealym
校验提示文案
漏气
校验提示文案
是你啊小姨妈
校验提示文案
老周师傅
校验提示文案
值友7630801218
校验提示文案
猪德宝
校验提示文案