3月16日晚，針對旗下產(chǎn)品“360安全龍蝦”被曝私鑰泄露一事，360公司作出正式回應(yīng)，明確表示已第一時間吊銷涉事SSL證書，目前該證書已完全失效，從技術(shù)層面阻斷了攻擊者利用該私鑰偽造服務(wù)器、劫持流量的可能，普通用戶不會受到此次事件影響。

360方面解釋，此次私鑰泄露源于產(chǎn)品發(fā)布環(huán)節(jié)的操作失誤，導(dǎo)致內(nèi)部域名的網(wǎng)站證書被意外打包至公開安裝包中，公司已啟動內(nèi)部排查流程，將進一步優(yōu)化安全管理機制，防范類似疏漏再次發(fā)生。

3月14日，360集團宣布推出“360安全龍蝦”智能體應(yīng)用客戶端及“360安全龍蝦Box”硬件終端，并發(fā)布專門應(yīng)對OpenClaw（龍蝦）安全問題的“360龍蝦衛(wèi)士”。

該產(chǎn)品定位為OpenClaw智能體的一鍵部署工具，核心功能是降低AI智能體的本地部署門檻，面向普通用戶與企業(yè)用戶提供便捷服務(wù)。

當(dāng)天，360在總部園區(qū)特設(shè)了免費裝“龍蝦”活動，創(chuàng)始人周鴻祎還在現(xiàn)場演示為用戶安裝部署“360安全龍蝦”。

“360龍蝦衛(wèi)士”作為360安全龍蝦的原生安全組件，通過虛擬化沙箱（WSL）隔離運行環(huán)境，將智能體執(zhí)行空間與用戶數(shù)據(jù)進行分離，并借助AI安全引擎識別惡意技能、異常指令以及潛在漏洞，從而主動攔截技能投毒、提示詞注入等攻擊行為。

周鴻祎還強調(diào)，“安全永遠是配角，它的使命是為數(shù)字化、智能化保駕護航，我們不會做過度攔截，不打擾用戶的正常使用，只解決核心安全問題?！?/span>

但兩天后，3月16日，安全社區(qū)研究人員在解壓該產(chǎn)品安裝包時，發(fā)現(xiàn)其特定路徑下存在明文存儲的泛域名SSL證書及對應(yīng)RSA私鑰。

作為核心安全憑證，該證書的私鑰一旦泄露，攻擊者理論上可借此偽造相關(guān)域名的HTTPS服務(wù)，實施中間人攻擊，進而竊取用戶數(shù)據(jù)、傳播惡意程序等。

作為以網(wǎng)絡(luò)安全為核心業(yè)務(wù)的廠商，360此次將內(nèi)部私鑰意外打包進公開安裝包，被行業(yè)內(nèi)視為較為嚴重的安全疏漏。

OpenClaw（俗稱“龍蝦”）開源框架，因可實現(xiàn)自動辦公、系統(tǒng)操作、API調(diào)用等多元化功能，被網(wǎng)友稱為“全能AI打工人”，自今年年初起迅速席卷國內(nèi)科技圈，近期還掀起了全民“養(yǎng)龍蝦”的熱潮。

相關(guān)產(chǎn)業(yè)鏈熱度飆升，百度舉辦“龍蝦市集”吸引千人排隊安裝，騰訊在辦公大廈樓下提供免費部署服務(wù)，適配OpenClaw的Mac mini出現(xiàn)全國斷貨、二手市場溢價的現(xiàn)象。政策層面，多地政府也密集出臺扶持政策。

但熱潮背后，OpenClaw的安全隱患也已顯現(xiàn)。國家互聯(lián)網(wǎng)應(yīng)急中心、工信部此前已先后發(fā)布安全預(yù)警，指出其默認安全配置薄弱，存在公網(wǎng)暴露、密鑰泄露、插件投毒等風(fēng)險，目前全球已有多個OpenClaw被黑客攻擊實例。

此次360出現(xiàn)私鑰泄露，也突顯出AI智能體快速普及過程中，廠商安全管理的緊迫性。