在安全圈,“老司機”偶爾也會在陰溝裏翻船。近日,360公司 旗下 AI 新品 “360安全龍蝦” 被曝出存在嚴重的初級安全疏漏,引發了行業對 AI 產品發佈流程的廣泛質疑。

據瞭解,事件起因於 360安全龍蝦 的產品安裝包中,被發現直接打包內置了 *.myclaw.360.cn 泛域名的 SSL 私鑰與證書。這種做法相當於把自家的“萬能鑰匙”落在了公共場合,攻擊者一旦拿到私鑰,理論上可以僞造服務器、發起中間人攻擊甚至劫持用戶流量。

針對這一風波,360公司 迅速回應稱,該問題源於發佈環節的低級失誤,導致內部域名的網站證書被意外打包進安裝包。

爲了及時止損,360 已採取以下應急措施:

第一時間吊銷: 涉事證書已完成吊銷操作,目前已徹底失效。

風險評估: 官方表示,普通用戶目前不會受到影響,技術層面已封堵了利用私鑰僞造服務器的可能性。

作爲國內網絡安全的頭部廠商,360在自家 AI 產品的安全性上“馬失前蹄”,無疑給整個 AI 行業敲響了警鐘。在大模型與智能體應用密集發佈的當下,如何確保發佈環節的自動化檢測不流於形式,將成爲各家公司亟需補課的一環。