360安全团队回应通配符证书泄露事件

360安全团队回应通配符证书泄露事件

360安全团队针对安全龙虾（OpenClaw）通配符证书及私钥泄露问题发布声明。官方指出，此次事件源于内部流程疏漏，误将用于测试的内部域名证书 *.myclaw.360.cn 打包至公开安装包中。 该证书绑定的解析地址为 127.0.0.1，属于本地回环地址，仅限于用户本机环境运行，未接入外部网络或对外提供任何服务。因此，尽管存在理论上的中间人劫持可能性，但由于服务范围局限在本地，实际攻击面极小。 在收到多位安全研究员反馈后，360已立即提交证书吊销申请，目前该证书已失效，无法再用于任何合法的HTTPS加密通信。官方强调，普通用户无需担忧，未受影响。

证书使用范围与风险评估

由于证书所关联的服务始终运行于用户本地设备，不具备远程访问能力，故不存在大规模数据外泄或远程控制风险。即便证书信息被恶意利用，攻击者也无法通过该证书建立有效加密连接。系统层面的隔离机制进一步降低了潜在威胁。 360表示将持续加强内部代码发布审核流程，避免类似事件再次发生。