360发布“360安全龙虾”陷入密钥泄露风波：安装包内暴露SSL私钥，安全风险引发质疑

唐人日报快讯: 奇虎360近日发布新AI产品“360安全龙虾（Security Claw）”，但有技术人员发现，该产品的安装包中竟然包含了其服务器域名 *.myclaw.360.cn 的SSL私钥。该私钥的证书有效期可见直到2027年4月，并覆盖该AI平台的所有子域名，这一细节在安全社区引发广泛关注与担忧。
据发现者所述，该私钥就直接存在于安装包内，任何下载安装该软件的人都可能提取并使用该私钥。SSL私钥相当于网站加密通信的“主密码”，在正常安全实践中应仅保存在受控服务器或专用硬件环境中，绝不应随客户端软件分发。
私钥泄露的风险极为严重：攻击者理论上可以利用该私钥伪装成360的服务器，对用户发起中间人攻击，拦截或解密本应被保护的通信；也可能伪造登陆页面骗取用户凭证，甚至冒充或劫持后端AI服务以返回伪造结果或植入恶意行为。对于一个面向大量用户的AI产品而言，这类风险直指用户隐私与平台完整性。
更具讽刺意味的是，360方面在产品发布时曾强调该AI“绝不会泄露用户密码”。安全从业者表示，口头承诺无法替代正确的密钥管理与供应链安全控制，私钥如果被嵌入到分发包中，任何承诺都无法抵消随之而来的技术风险。
鉴于此类问题的常见处置路径，安全专家建议：厂商应立即进行核查与透明通报，若确认私钥确实被嵌入安装包，应尽快吊销受影响证书、重新签发并采用新的密钥；同时发布受影响版本列表并推送安全更新，提示用户卸载或暂缓安装受影响版本；对开发与构建流程进行溯源审计，堵塞将敏感秘钥写入构建产物的环节。用户层面则应在厂商未给出明确修复说明前谨慎对待该软件，避免在不可信环境输入敏感信息。
这一事件也将引发更广泛的行业讨论：在AI与云服务日益紧密的当下，密钥管理、证书生命周期与软件分发链路的安全实践愈发关键。若供应链或构建流程存在失误，可能导致规模化的信任崩塌与法律、合规后果。业内呼吁加强自动化检测与构建时防泄漏机制，避免敏感凭证随二进制或安装包出货。
目前尚无公开信息显示厂商已经采取具体补救措施；相关技术人员的发现已在安全圈传播，外界期待360方面尽快回应并采取必要的补救与通告措施，恢复用户与合作方的信任。唐人日报于3月16日快讯。

唐人日报赞助商：
纽约华人律师事务所精办移民申请、婚姻绿卡、移民监狱上庭、刑事民事。
【Phone：+1 9297891391；地址：3915 Main Street，418，Flushing NY 11354 。周一到周五AM10:00-PM18:00 人不能成功从监狱出来，只收基本律师费用】
纽约华人会计师事务所 精办散工（1099）、全职（W2）、公司税务、公司注册。
【Phone：+1 9295446105；地址：3915 Main Street，418，Flushing NY 11354 。周一到周五AM10:00-PM18:00】