【周鸿祎的360安全龙虾,不太安全】360安全龙虾这波操作,属实让人大跌眼镜,堪称安全厂商的经典翻车现场。这款基于OpenClaw封装的AI产品,发布会上周鸿祎还信誓旦旦承诺“永不泄露密码”,主打安全AI助手定位,可产品刚上线就曝出致命安全漏洞,打脸速度快到离谱。
安全研究人员实测发现,这款产品的公开安装包里,竟然明文存放着*.myclaw.360.cn的通配符SSL私钥,这本该锁在服务器核心区、内部员工都无权触碰的核心凭证,直接被全网公开下载。该证书有效期长达一年多,直至2027年4月才到期,覆盖全子域名,相当于把360的“万能钥匙”拱手送人,攻击者可轻松伪造服务器、劫持通信数据,甚至直接接管AI助手。
虽说360事后紧急吊销证书,称是发布环节操作失误,但作为深耕安全领域的头部厂商,犯这种低级疏漏实在说不过去。前脚标榜守护用户安全,后脚亲手泄露核心密钥,所谓的“安全龙虾”,安全性彻底沦为空谈,也狠狠透支了用户对360的信任。
鑫恒盈配资提示:文章来自网络,不代表本站观点。
