“龙虾”也出岔子？360回应私钥外泄：属发布失误，证书已紧急作废

在安全圈，“老手”有时也会踩坑。近日，360公司 旗下 AI 新品 “360安全龙虾” 被曝出现明显的基础安全疏漏，引发业内对 AI 产品上线流程的广泛质疑。

据悉，事件源于 360安全龙虾 的安装包中，被发现直接打包了 *.myclaw.360.cn 泛域名的 SSL 私钥与证书。此举相当于把自家的“万能钥匙”放在公开场合，一旦被不法分子获取，理论上可伪装服务器、实施中间人攻击，甚至劫持用户流量。

对此，360公司 迅速回应称，问题源于发布环节的操作失误，导致内部域名的网站证书被误打包进安装包。

为及时止损，360 已采取以下紧急处置：

第一时间吊销: 涉事证书已完成吊销，当前已彻底失效。

风险评估: 官方表示，普通用户目前不受影响，技术层面已封堵利用私钥伪造服务器的可能。

作为国内网络安全的头部厂商，360在自家 AI 产品安全上出现失误，无疑给整个 AI 行业敲响了警钟。在大模型与智能体应用密集发布的当下，如何确保发布环节的自动化检测不流于形式，已成为各家公司亟待补上的一课。