在3月16日的深夜,360公司给了关于旗下“安全龙虾”私钥泄露事件的正式回应。360集团说明,是因为内部域名的网站证书被错误地打包进了公开安装包里,才导致这次私钥泄露。他们已经第一时间吊销了这个有问题的SSL证书,技术层面已经把攻击的可能性给阻断了。周鸿祎还强调,安全永远是给大家提供保障的,不会过度拦截影响大家使用。不过呢,安全社区的研究人员在3月16日就发现了问题。他们在解压“360安全龙虾”的安装包时,在特定路径下找到了明文存储的泛域名SSL证书和对应的RSA私钥。这个私钥一旦泄露,黑客就可以用来伪造相关域名的HTTPS服务了。攻击者就可以通过中间人攻击窃取用户数据或传播恶意程序。 OpenClaw这个开源框架能实现自动办公、系统操作还有API调用等功能,所以被称为“全能AI打工人”,最近国内科技圈里非常流行它。大家都在忙着“养龙虾”,热度非常高。百度举办了“龙虾市集”吸引了上千人排队安装,腾讯还在办公大厦楼下提供免费部署服务。适配OpenClaw的Mac mini在全国都断货了,二手市场也加价了。多地政府也出了扶持政策。但是OpenClaw的安全隐患已经显现出来了,国家互联网应急中心还有工信部之前也发布过安全预警。全球已经有很多OpenClaw被黑客攻击过了。 这次360公司把内部私钥打包进公开安装包这件事让行业内觉得他们管理上存在严重疏漏。3月14日时,360集团发布了“360安全龙虾”智能体应用客户端和“360安全龙虾Box”硬件终端,还发布了针对OpenClaw安全问题的“360龙虾卫士”。这个产品是用来降低AI智能体本地部署门槛的,给普通用户还有企业用户提供便捷服务的。当天他们在总部园区还组织了免费安装活动,周鸿祎在现场演示了如何部署“360安全龙虾”。“360龙虾卫士”是作为“360安全龙虾”的原生安全组件存在的。它通过虚拟化沙箱隔离运行环境,把智能体执行空间和用户数据分开。利用AI安全引擎识别恶意技能、异常指令和潜在漏洞,拦截技能投毒和提示词注入这些攻击行为。周鸿祎强调,“安全永远是配角”,只是为数字化、智能化保驾护航。他们不会过度拦截影响用户正常使用。 虽然这次事件显示了厂商在管理上的紧迫性,但“360安全龙虾”和“360龙虾卫士”这两个产品还是值得关注的。如果大家真的想体验一下这个全能AI打工人带来的便利,在使用过程中一定要注意保护好自己的隐私和安全信息。