3月16日晚,針對旗下產(chǎn)品“360安全龍蝦”被曝私鑰泄露一事��,360公司作出正式回應�,明確表示已第一時間吊銷涉事SSL證書,目前該證書已完全失效��,從技術層面阻斷了攻擊者利用該私鑰偽造服務器��、劫持流量的可能��,普通用戶不會受到此次事件影響�。
360方面解釋,此次私鑰泄露源于產(chǎn)品發(fā)布環(huán)節(jié)的操作失誤��,導致內(nèi)部域名的網(wǎng)站證書被意外打包至公開安裝包中��,公司已啟動內(nèi)部排查流程,將進一步優(yōu)化安全管理機制�,防范類似疏漏再次發(fā)生。
3月14日�,360集團宣布推出“360安全龍蝦”智能體應用客戶端及“360安全龍蝦Box”硬件終端,并發(fā)布專門應對OpenClaw(龍蝦)安全問題的“360龍蝦衛(wèi)士”�。
該產(chǎn)品定位為OpenClaw智能體的一鍵部署工具,核心功能是降低AI智能體的本地部署門檻��,面向普通用戶與企業(yè)用戶提供便捷服務��。
當天��,360在總部園區(qū)特設了免費裝“龍蝦”活動��,創(chuàng)始人周鴻祎還在現(xiàn)場演示為用戶安裝部署“360安全龍蝦”�。
“360龍蝦衛(wèi)士”作為360安全龍蝦的原生安全組件,通過虛擬化沙箱(WSL)隔離運行環(huán)境�,將智能體執(zhí)行空間與用戶數(shù)據(jù)進行分離,并借助AI安全引擎識別惡意技能��、異常指令以及潛在漏洞��,從而主動攔截技能投毒��、提示詞注入等攻擊行為��。
周鴻祎還強調(diào),“安全永遠是配角��,它的使命是為數(shù)字化��、智能化保駕護航��,我們不會做過度攔截��,不打擾用戶的正常使用�,只解決核心安全問題��?!?/p>
但兩天后,3月16日��,安全社區(qū)研究人員在解壓該產(chǎn)品安裝包時��,發(fā)現(xiàn)其特定路徑下存在明文存儲的泛域名SSL證書及對應RSA私鑰��。
作為核心安全憑證��,該證書的私鑰一旦泄露��,攻擊者理論上可借此偽造相關域名的HTTPS服務�,實施中間人攻擊,進而竊取用戶數(shù)據(jù)、傳播惡意程序等�。
作為以網(wǎng)絡安全為核心業(yè)務的廠商,360此次將內(nèi)部私鑰意外打包進公開安裝包�,被行業(yè)內(nèi)視為較為嚴重的安全疏漏。
OpenClaw(俗稱“龍蝦”)開源框架�,因可實現(xiàn)自動辦公、系統(tǒng)操作��、API調(diào)用等多元化功能�,被網(wǎng)友稱為“全能AI打工人”,自今年年初起迅速席卷國內(nèi)科技圈�,近期還掀起了全民“養(yǎng)龍蝦”的熱潮。
相關產(chǎn)業(yè)鏈熱度飆升�,百度舉辦“龍蝦市集”吸引千人排隊安裝,騰訊在辦公大廈樓下提供免費部署服務�,適配OpenClaw的Mac mini出現(xiàn)全國斷貨、二手市場溢價的現(xiàn)象�。政策層面,多地政府也密集出臺扶持政策�。
但熱潮背后,OpenClaw的安全隱患也已顯現(xiàn)��。國家互聯(lián)網(wǎng)應急中心��、工信部此前已先后發(fā)布安全預警��,指出其默認安全配置薄弱,存在公網(wǎng)暴露��、密鑰泄露�、插件投毒等風險,目前全球已有多個OpenClaw被黑客攻擊實例�。
此次360出現(xiàn)私鑰泄露,也突顯出AI智能體快速普及過程中�,廠商安全管理的緊迫性。
聲明:證券時報力求信息真實�、準確,文章提及內(nèi)容僅供參考��,不構成實質(zhì)性投資建議��,據(jù)此操作風險自擔
下載"證券時報"官方APP�,或關注官方微信公眾號,即可隨時了解股市動態(tài)��,洞察政策信息��,把握財富機會�。
