在安全圈,“老司机”偶尔也会在阴沟里翻船。近日,360公司 旗下 AI 新品 “360安全龙虾” 被曝出存在严重的初级安全疏漏,引发了行业对 AI 产品发布流程的广泛质疑。
据了解,事件起因于 360安全龙虾 的产品安装包中,被发现直接打包内置了 *.myclaw.360.cn 泛域名的 SSL 私钥与证书。这种做法相当于把自家的“万能钥匙”落在了公共场合,攻击者一旦拿到私钥,理论上可以伪造服务器、发起中间人攻击甚至劫持用户流量。
针对这一风波,360公司 迅速回应称,该问题源于发布环节的低级失误,导致内部域名的网站证书被意外打包进安装包。
为了及时止损,360 已采取以下应急措施:
第一时间吊销: 涉事证书已完成吊销操作,目前已彻底失效。
风险评估: 官方表示,普通用户目前不会受到影响,技术层面已封堵了利用私钥伪造服务器的可能性。
作为国内网络安全的头部厂商,360在自家 AI 产品的安全性上“马失前蹄”,无疑给整个 AI 行业敲响了警钟。在大模型与智能体应用密集发布的当下,如何确保发布环节的自动化检测不流于形式,将成为各家公司亟需补课的一环。
来源:“龙虾”也翻车?360 回应私钥泄露事件:系发布失误,证书已紧急吊销 | AIbase
2026-03-17 14:59
