360集团在3月14日推出了“360安全龙虾”客户端与硬件终端,还准备了“360龙虾卫士”,专门给OpenClaw用。创始人周鸿祎在现场给用户演示了安装流程,他说安全得当成配角,不能过度拦截用户。可就在3月16日,安全社区的研究人员在解压安装包时发现了问题:特定路径下有泛域名的SSL证书和RSA私钥,而且是明文存储的。这东西要是被人拿到,黑客就能伪造HTTPS服务,搞中间人攻击,窃取数据或者传播恶意程序。 针对这个情况,360公司迅速做出回应。他们给涉事的SSL证书发了吊销指令,现在这个证书已经完全失效了,从技术上把攻击者利用它伪造服务器、劫持流量的可能性给堵死了。普通用户这次肯定不会受到影响。至于为啥会出现这种情况,360方面解释说这是发布环节的操作失误造成的。内部域名的网站证书不小心被打包进了公开安装包里。公司已经启动了内部排查流程,要进一步优化安全管理机制,免得以后再出这种岔子。 这次事件让行业内的人看到了一些问题。OpenClaw是个挺火的开源框架,能做自动化办公、系统操作和API调用,网友管它叫“全能AI打工人”。热度上来之后,产业链也跟着升温。百度搞了个“龙虾市集”,腾讯在办公楼下提供免费服务,甚至适配OpenClaw的Mac mini都被抢光了。政策方面各地政府也纷纷出台扶持政策。不过热度背后的风险也得防着点。国家互联网应急中心、工信部早就发过预警了,说它的默认配置不安全,存在公网暴露、密钥泄露、插件投毒的风险。目前全球已经有不少OpenClaw被黑客攻击的例子了。 这次360出现私钥泄露的事儿也说明AI智能体普及得太快了,厂商得赶紧加强安全管理才行。毕竟作为以网络安全为主业的厂商,把内部私钥意外打包进公开安装包里,这种情况被看作是比较严重的安全疏漏。