360旗下AI安全产品曝私钥泄露 官方回应系发布流程失误

2026年3月，国内头部网络安全厂商360旗下AI安全新品“360安全龙虾”被曝安装包内置*.myclaw.360.cn泛域名SSL私钥，存在攻击者伪造服务器发起中间人攻击、劫持用户流量的风险。360官方回应称事件系发布环节失误，目前已完成涉事证书吊销，技术层面已封堵漏洞，普通用户暂未受影响，事件引发行业对AI产品上线安全审核机制的广泛讨论。

作为国内深耕网络安全领域二十余年的头部厂商，360此次在自家AI安全新品上出现的低级疏漏，让不少行业从业者都直呼意外。3月17日事件曝出当天，相关话题迅速登上安全社区、科技论坛热搜，不少技术爱好者晒出自己拆解安装包后提取到的私钥文件截图，相关风险在短时间内快速发酵，不少已安装产品的用户也纷纷咨询安全性问题。

近两年随着大模型技术的普及，AI+安全成为厂商布局的热门赛道，360此前推出的“360安全龙虾”，主打AI驱动的实时风险拦截、终端漏洞扫描功能，原本瞄准的是个人及中小微企业的轻量化安全需求，上线前曾对外宣称通过了多轮内部安全测试。

而此次事件暴露出的问题，恰恰是当前AI产品竞速背景下的普遍隐患：不少厂商为了抢占市场窗口，不断压缩产品上线周期，原本应该严格执行的发布前安全审计流程被一再简化，甚至出现把内部测试用的证书、密钥直接打包进正式安装包的低级错误。

此次被泄露的泛域名SSL私钥，相当于对应域名所有子站点的“万能通行凭证”，攻击者一旦拿到私钥，理论上可以伪造360安全龙虾的官方服务器，发起中间人攻击，劫持用户的访问流量，甚至窃取用户上传的敏感安全数据。