在安全圈,“老司機”偶爾也會在陰溝里翻船。近日,360公司 旗下 AI 新品 “360安全龍蝦” 被曝出存在嚴重的初級安全疏漏,引發了行業對 AI 產品發布流程的廣泛質疑。
據了解,事件起因于 360安全龍蝦 的產品安裝包中,被發現直接打包內置了 *.myclaw.360.cn 泛域名的 SSL 私鑰與證書。這種做法相當于把自家的“萬能鑰匙”落在了公共場合,攻擊者一旦拿到私鑰,理論上可以偽造服務器、發起中間人攻擊甚至劫持用戶流量。
針對這一風波,360公司 迅速回應稱,該問題源于發布環節的低級失誤,導致內部域名的網站證書被意外打包進安裝包。
為了及時止損,360 已采取以下應急措施:
第一時間吊銷: 涉事證書已完成吊銷操作,目前已徹底失效。
風險評估: 官方表示,普通用戶目前不會受到影響,技術層面已封堵了利用私鑰偽造服務器的可能性。
作為國內網絡安全的頭部廠商,360在自家 AI 產品的安全性上“馬失前蹄”,無疑給整個 AI 行業敲響了警鐘。在大模型與智能體應用密集發布的當下,如何確保發布環節的自動化檢測不流于形式,將成為各家公司亟需補課的一環。
