近日，安全社區(qū)發(fā)現(xiàn)：360 剛發(fā)布的 AI Agent 產(chǎn)品 "360安全龍蝦" （基于 OpenClaw 的一鍵部署客戶端），在其公開安裝包中，包含了 *.myclaw.# 泛域名證書的 SSL 私鑰文件 。

一家以安全為核心賣點(diǎn)的公司，把自己的通配符證書私鑰，打包進(jìn)了面向公眾分發(fā)的安裝包里。

聲明：本文僅作為網(wǎng)絡(luò)安全技術(shù)探討與供應(yīng)鏈安全案例分析。文中引用的技術(shù)數(shù)據(jù)及文件路徑均來自公開網(wǎng)絡(luò)渠道及官方公開發(fā)布的軟件安裝包，不涉及任何逆向工程、破解或入侵行為。本文所述內(nèi)容均基于公開信息與可獨(dú)立驗(yàn)證的技術(shù)事實(shí)，不構(gòu)成對任何公司的主觀評價(jià)。如相關(guān)廠商已發(fā)布官方修復(fù)公告，請以官方信息為準(zhǔn)。

發(fā)生了什么

360安全龍蝦于 2026年3月14日正式發(fā)布，定位是 OpenClaw 智能體的一鍵安裝部署工具。

安全研究人員在解壓安裝包后發(fā)現(xiàn)，在以下路徑中存在明文的證書與私鑰文件：

/path/to/namiclaw/components/Openclaw/openclaw.7z/credentials

該目錄下包含了 *.myclaw.# 的 Wildcard DV 泛域名證書及其對應(yīng)的 RSA 私鑰。

證書由 WoTrus（沃通）CA 簽發(fā)，有效期從 2026年3月12日至 2027年4月12日，覆蓋 *.myclaw.# 下的所有子域名。

技術(shù)驗(yàn)證

據(jù)安全博客"秋風(fēng)于渭水"的獨(dú)立驗(yàn)證，通過標(biāo)準(zhǔn)的 OpenSSL 工具分別提取私鑰和證書中的 Modulus（模數(shù)），進(jìn)行 MD5 哈希比對，兩者的指紋完全一致，在技術(shù)上證實(shí)了該 .key 文件確為對應(yīng)泛域名證書的有效私鑰。

此外，X（原 Twitter）上多位用戶已公開貼出該證書的完整 PEM 編碼內(nèi)容，任何人均可自行下載驗(yàn)證。證書透明度日志（crt.sh）中亦可查詢到對應(yīng)記錄。

老馮也在本地使用 OpenSSL 對上述證書和私鑰文件進(jìn)行了獨(dú)立驗(yàn)證，Modulus 哈希比對結(jié)果與上述報(bào)告一致。

這意味著什么

SSL 私鑰是 HTTPS 加密通信的核心。持有某域名的 SSL 私鑰，在技術(shù)上意味著：

1. 中間人攻擊（MITM）

在公共 Wi-Fi、企業(yè)內(nèi)網(wǎng)、運(yùn)營商鏈路等場景下，第三方可以利用該私鑰偽造 *.myclaw.# 下任意子域名的合法 HTTPS 服務(wù)。由于證書本身是合法簽發(fā)的，客戶端不會彈出任何安全警告，用戶的加密流量可被實(shí)時(shí)解密。

2. API Key 截獲風(fēng)險(xiǎn)

360安全龍蝦作為 OpenClaw 部署工具，用戶在使用過程中通常會配置各類大模型的 API Key。如果客戶端與 *.myclaw.# 之間的通信被中間人劫持，這些 API Key 存在被明文截獲的風(fēng)險(xiǎn)。

3. 供應(yīng)鏈劫持

如果客戶端的自動更新、配置下發(fā)等機(jī)制依賴于該域名的 HTTPS 驗(yàn)證，攻擊者理論上可以偽造服務(wù)器，向客戶端推送未經(jīng)授權(quán)的指令或代碼。

需要說明的是，以上是泛域名私鑰泄露后在技術(shù)層面客觀存在的風(fēng)險(xiǎn)面，并不代表這些攻擊已經(jīng)實(shí)際發(fā)生。

證書吊銷與 OCSP 的尷尬

根據(jù) CA/Browser Forum Baseline Requirements（4.9.1.1 章節(jié)），當(dāng) CA 意識到證書私鑰可能已遭泄露時(shí)，應(yīng)在 24小時(shí)內(nèi) 執(zhí)行吊銷操作。本次事件的時(shí)間線如下：

時(shí)間

事件

2026-03-12

WoTrus 簽發(fā) *.myclaw.# 證書

2026-03-14

360安全龍蝦正式發(fā)布，安裝包公開分發(fā)

2026-03-15

安全社區(qū)發(fā)現(xiàn)并公開討論私鑰泄露問題

2026-03-16 08:07 UTC

據(jù)"秋風(fēng)于渭水"博客報(bào)告，證書 OCSP 狀態(tài)變更為 Revoked（已吊銷）

證書目前名義上已被吊銷。但事情遠(yuǎn)沒有這么簡單。

主流瀏覽器對 OCSP 通常采用"軟失敗"（Soft-Fail）策略：如果無法訪問 OCSP 服務(wù)器，瀏覽器會默認(rèn)放行而非拒絕連接。換句話說，能做中間人攻擊的人，順手?jǐn)r截掉 OCSP 流量也不是什么難事——僅靠 OCSP 吊銷并不能完全消除已泄露私鑰的威脅。

更有意思的是老馮的實(shí)測結(jié)果。2026年3月16日晚間 22:14，老馮使用 OpenSSL 對 OCSP 狀態(tài)進(jìn)行驗(yàn)證，返回結(jié)果竟然是 "未吊銷"。OCSP 響應(yīng)返回的是 3月15日的緩存結(jié)果。

進(jìn)一步排查發(fā)現(xiàn)：該 OCSP 服務(wù)的三個(gè)后端 IP 返回了三個(gè)不一致的結(jié)果 —— 有的說已吊銷，有的說沒有。

該證書確實(shí)已經(jīng)吊銷。但這個(gè)發(fā)現(xiàn)本身暴露出證書基礎(chǔ)設(shè)施的一個(gè)嚴(yán)重可靠性隱患：即使你已經(jīng)真的吊銷了證書，在相當(dāng)可觀的一段時(shí)間里面，OCSP 依然可能在返回結(jié)果中認(rèn)為它是有效的。

從工程實(shí)踐角度看

這類事故在軟件工程中有明確的防御手段。

泛域名私鑰屬于高等級憑據(jù)，在標(biāo)準(zhǔn)的安全開發(fā)實(shí)踐（SDL）中：

?私鑰應(yīng)存放在 HSM（硬件安全模塊） 或?qū)Ｓ玫?KMS（密鑰管理系統(tǒng)） 中?CI/CD 流水線應(yīng)配置 Secret 掃描，在構(gòu)建階段自動檢測并阻斷憑據(jù)的意外打包?發(fā)布前的安全審查應(yīng)覆蓋安裝包內(nèi)的所有文件?開發(fā)人員不應(yīng)直接接觸私鑰本體

以上均為業(yè)界通行做法，并非什么高不可攀的要求。對于一家主打 安全 的公司而言，這些應(yīng)該是基本功。

對終端用戶的建議

如果你已經(jīng)安裝了360安全龍蝦，出于審慎考慮：

1.在官方發(fā)布包含新證書的修復(fù)版本前，避免在不可信網(wǎng)絡(luò)環(huán)境下使用該客戶端2.如果你在客戶端中配置過大模型 API Key，建議前往對應(yīng)服務(wù)商后臺 重新生成（Regenerate）密鑰3.關(guān)注360官方的后續(xù)安全公告

附：360 安全龍蝦發(fā)布會圖

信息來源

本文所述內(nèi)容均基于以下公開信息與可獨(dú)立驗(yàn)證的技術(shù)事實(shí)。

1.TechWeb 報(bào)道：360推出"安全龍蝦"[1]2.新浪科技（北京日報(bào)）：周鴻祎官宣將推出360安全龍蝦[2]3.小眾軟件 Appinn Feed 社區(qū)帖（轉(zhuǎn)自 L 站用戶報(bào)告）[3]4.秋風(fēng)于渭水博客：技術(shù)驗(yàn)證與風(fēng)險(xiǎn)分析[4]5.X用戶 @realNyarime 貼出的完整證書 PEM 編碼[5]6.X 用戶 @ZaihuaNews（科技圈在花新聞）事件報(bào)道，含 crt.sh 查詢鏈接[6]

關(guān)于本文引用的技術(shù)數(shù)據(jù)說明：OpenSSL Modulus 哈希比對結(jié)果及 OCSP 吊銷時(shí)間點(diǎn)的具體數(shù)值，來源于"秋風(fēng)于渭水"博客的獨(dú)立驗(yàn)證（來源 [4]）以及老馮的本地復(fù)現(xiàn)。相關(guān)驗(yàn)證方法為標(biāo)準(zhǔn)操作，任何持有該安裝包的人均可使用 OpenSSL 自行復(fù)現(xiàn)。

寫 Bug 能理解。但發(fā)布前跑一遍 Secret 掃描，很難嗎。

References

[1] TechWeb 報(bào)道：360推出"安全龍蝦":https://finance.sina.com.cn/tech/roll/2026-03-14/doc-inhqyhwn7349741.shtml
[2]新浪科技（北京日報(bào)）：周鴻祎官宣將推出360安全龍蝦:https://finance.sina.com.cn/tech/roll/2026-03-11/doc-inhqqqfv9519753.shtml
[3]小眾軟件 Appinn Feed 社區(qū)帖（轉(zhuǎn)自 L 站用戶報(bào)告）:https://talk.appinn.net/posts/16284
[4]秋風(fēng)于渭水博客：技術(shù)驗(yàn)證與風(fēng)險(xiǎn)分析:https://www.tjsky.net/news/1451
[5]X用戶 @realNyarime 貼出的完整證書 PEM 編碼:https://x.com/realNyarime/status/2033428417488757122
[6]X 用戶 @ZaihuaNews（科技圈在花新聞）事件報(bào)道，含 crt.sh 查詢鏈接: https://x.com/ZaihuaNews/status/2033481130532392997

數(shù)據(jù)庫老司機(jī)

點(diǎn)一個(gè)關(guān)注 ??，精彩不迷路

對 PostgreSQL， Pigsty，下云 感興趣的朋友

歡迎加入 PGSQL x Pigsty 交流群 QQ 619377403