360 AI安全产品遭遇自摆乌龙的安保危机

即使网络安全巨头也会在基础安全实践上栽跟头。中国领先的互联网安全公司360本周陷入窘境，其新款360安全龙虾AI产品犯了个低级错误——在公开安装包中包含了SSL私钥。

问题出在哪里？

这一失误在被安全研究人员发现产品安装包包含*.myclaw.360.cn域名的通配符SSL证书后曝光。对非技术用户而言，这就像把万能钥匙留在门垫下——任何发现者都可能冒充官方服务器或截取敏感用户数据。

"这是我们会从初级开发人员那里预期的错误类型，"一位要求匿名的网络安全专家评论道，"对于销售安全产品的公司犯这种错误...至少可以说很讽刺。"

损害控制措施

360迅速采取行动控制影响：

• 证书撤销：立即废止暴露的密钥
• 风险评估：公司声称普通用户未受影响
• 流程审查：承诺未来加强发布前检查

公司将此次疏忽归因于"发布流程中的低级错误"，意外将内部测试证书打包进了公开版本。

AI行业面临的更大问题

该事件凸显了AI行业快速发展周期中的成长阵痛。随着企业竞相推出新AI产品：

• 安全审查是否跟得上开发速度？
• 其他AI工具可能存在多少类似疏漏？
• 是否应制定AI产品安全审计的行业标准？

"在这个竞争激烈的市场中，安全也不能是事后才考虑的事项，"网络安全分析师李伟警告道，"当构建安全产品的企业在基础问题上栽跟头时，会全面动摇用户信心。"

关键点：

• 360安全龙虾安装包包含暴露的SSL私钥
• 公司撤销证书并声称对用户影响极小
• 事件揭示了快速发展的AI行业潜在的质量控制漏洞
• 凸显了AI产品开发中需要更强有力的安全协议