360回应“安全龙虾”私钥泄露事件：已吊销证书并优化安全流程

SmartHey3月17日消息，3月16日晚，针对旗下新品“360安全龙虾”被曝私钥泄露一事，360公司发布正式声明，确认已第一时间吊销涉事SSL证书，该证书现已完全失效，从技术上彻底阻断攻击者利用私钥伪造服务器、劫持HTTPS流量的可能性；普通用户使用不受影响。

360方面说明，此次泄露系产品发布环节的操作疏失所致——内部测试用域名的泛域名SSL证书及对应RSA私钥被误打包进面向公众发布的安装包中。公司已启动全面内部审查，并将升级证书管理规范、强化安装包构建审计流程，杜绝同类风险再度发生。

3月14日，360集团正式发布“360安全龙虾”智能体应用客户端与配套硬件终端“360安全龙虾Box”，同步推出专为防御OpenClaw（龙虾）新型网络威胁而设计的“360龙虾卫士”安全模块。

3月16日，多位安全研究人员在逆向分析该客户端安装包时，于特定目录下发现明文存放的泛域名SSL证书文件（.crt）及其配套RSA私钥（.key），引发广泛关注。

该私钥属于高敏感安全凭证，一旦落入攻击者手中，理论上可被用于实施中间人攻击（MITM），仿冒合法HTTPS站点，窃取登录凭据、会话令牌等敏感信息，甚至分发恶意载荷。

作为国内头部网络安全企业，将本应严格隔离的私钥意外纳入公开分发软件，被业内专家普遍认定为一次典型的安全治理失当案例，凸显了研发交付链路中安全左移（Shift-Left Security）机制的待加强环节。