在“全民养龙虾”的热潮之下,以安全立身的360,差点在自己最擅长的领域“翻车”。近日,随着AI智能体OpenClaw(俗称“龙虾”)的火爆,360顺势推出了“360安全龙虾”工具,却不料因一次“低级失误”被推上了风口浪尖。
据了解,OpenClaw作为能自动操作电脑、调用API的AI框架,被网友称为“全能AI打工人”,引发了全民部署热潮。3月14日,360集团顺势推出“360安全龙虾”智能体客户端,旨在降低用户部署OpenClaw的门槛,创始人周鸿祎甚至还在现场亲自为用户安装。然而产品上线仅两天,就有安全研究人员在解压安装包时发现,其中竟然完整包含了 *.myclaw.360.cn 的泛域名SSL私钥与证书。
这一发现让业界哗然。SSL私钥是网站身份加密的“命根子”,一旦泄露,攻击者可借此伪造服务器实施中间人攻击,劫持用户流量甚至窃取数据。对于一家以网络安全为核心业务的厂商而言,这无疑是一次严重的“自杀式”疏漏。
针对这一突发安全事件,360公司在3月16日晚紧急作出正式回应。360方面解释称,此次问题源于产品发布环节的失误,导致本应严格保管的内部域名证书被意外打包进了对外发布的安装包中。发现问题后,技术团队已第一时间采取应急措施,对涉事证书进行了吊销处理。
“目前该证书已完全失效,从技术层面阻断了攻击者利用该私钥伪造服务器、劫持流量的可能,普通用户不会受到此次事件影响。”360公司在回应中强调,旨在安抚用户的担忧情绪。
有技术分析指出,该证书对应的域名为内部使用,此次泄露或许不会直接导致外部用户数据被盗,但暴露了厂商在产品发布流程中的安全审核漏洞。对此,360也表示已启动内部排查流程,将进一步优化安全管理机制,防范类似疏漏再次发生。
此次“龙虾私钥门”事件,不仅给火热的人工智能应用热潮浇了一盆冷水,也为整个行业敲响了警钟。在国家互联网应急中心此前已明确预警AI智能体存在密钥泄露等风险的背景下,即便是头部安全厂商也出现了“灯下黑”的尴尬。如何在追逐技术风口的同时守住安全底线,成为所有AI开发者必须面对的紧迫课题。
关注 “悠AI” 更多干货技巧行业动态
相关文章
