Gate News 消息,3 月 17 日,360 安全团队就安全龙虾(OpenClaw)通配符证书和私钥泄露事件作出回应。官方表示,此次泄露系业务失误导致,团队误将内部域名证书打包进安装包中。涉事证书为 *.myclaw.360.cn,其实际解析地址为 127.0.0.1 本地回环地址,仅在用户本机使用,不对外提供任何服务。在收到多名安全研究员报告后,360 已申请吊销该证书,目前证书已失效,无法再用于任何合法的 HTTPS 加密通信。官方表示,普通用户不受影响,虽然泄露期间存在中间人劫持的理论风险,但由于证书对应服务仅运行于本机环境,实际风险相对有限。
