360安全龍蝦(security claw)被抓包在公開下載的軟體安裝包中,直接附上自家網站的萬用字元(wildcard)ssl私鑰與憑證!

這確實是一個極其嚴重的資安低級錯誤。中國資安巨頭 奇虎 360 (Qihoo 360) 於 2026 年 3 月推出全新的 AI 助理產品 「360 安全龍蝦」(Security Claw)，卻被發現其公開下載的安裝包中，竟然包含了該公司網站的 萬用字元 (Wildcard) SSL 私鑰與憑證。 

Instagram +1

• 事件起因：為了處理本地服務的 HTTPS 加密連線，「360 安全龍蝦」採用了定制版瀏覽器。技術分析指出，正確做法應是使用自簽名證書或 HTTP 明文訪問，但 360 卻錯誤地將一條真實使用中的網站憑證直接打包進軟體中。
• 安全風險：一旦駭客取得這份萬用字元私鑰，就能針對 360 旗下的所有子網域發動 中間人攻擊 (MITM)。這意味著攻擊者可以偽裝成 360 的官方伺服器，攔截用戶數據、竄改內容，甚至植入惡意代碼，且瀏覽器不會發出任何警告。
• 官方回應：消息曝光後，360 公司將此事件歸因為「發布環節的失誤」，並宣稱已完成應急處理，立即 吊銷了相關憑證。
• 輿論評價：身為一家市值百億美元、擁有超過 4.6 億用戶的資安巨擘，犯下這種「送出自家網路底牌」的基礎錯誤，被許多媒體與專家諷刺為「弱智級」失誤，並迅速淪為國際笑柄。 
  Facebook +4

Instagram +1

根據技術人員與新聞媒體揭發，該產品在公開發布的軟體安裝包中，竟錯誤地夾帶了其伺服器網域 *.myclaw.360.cn 的 SSL 萬用字元（Wildcard）私鑰與憑證。 

Threads

事件關鍵影響

• 私鑰外洩風險：SSL 私鑰相當於網站加密通訊的「主鑰匙」。一旦外洩，攻擊者可進行中間人攻擊（MITM），攔截並破解該網域下所有伺服器的加密流量，或偽造合法網站進行釣魚。
• 品牌聲譽受損：作為市值百億美元且標榜「網路安全」的企業，奇虎 360 犯下這種基礎性錯誤，被輿論譏諷為「弱智級」失誤，並在國際資安圈引發廣泛討論。
• AI 浪潮下的隱憂：此事件發生在 2026 年初全球熱衷於安裝開源 AI 代理（如 OpenClaw、Clawdbot）的背景下，突顯了開發者在趕進度推出 AI 產品時可能忽略的嚴重安全漏洞。 
  Instagram +5

您是否在使用該產品，或需要了解如何檢查自己的設備是否受到此類憑證外洩的威脅？

6 個網站

• 養「龍蝦」竟變引狼入室？OpenClaw 爆資安漏洞！教你如何避 ...

  2026年3月13日 — 養「龍蝦」竟變引狼入室？最近爆紅的OpenClaw (龍蝦AI) 雖然好用，但隱藏的資安漏洞與代安裝「百萬騙局」正威脅企業資產！本文將教你如何辨識惡意腳本，並透過Bitdefender 位元防護打造安全AI 環境。別讓您的密鑰成為龍蝦的大餐！

  欣亞
• 資安大烏龍？奇虎360 新AI 產品安裝包驚現SSL 私鑰 - Threads

  2026年3月17日 — 【資安大烏龍？奇虎360 新AI 產品安裝包驚現SSL 私鑰】. 近日，中國大型網絡安全公司「奇虎360」推出全新AI 產品「360 安全龍蝦（Security Claw）」。然而，有技術人員揭發其安裝包內，竟然直接包含了伺服器域名*.myclaw.360.c...

  Threads
• 中國「養龍蝦」出事了，百億資安巨擘「弱智級」錯誤淪國際 ...

  2026年3月18日 — ... 全新AI助理產品「360安全龍蝦（Security Claw）」，被抓包在公開下載的軟體安裝包中，直接附上自家網站的萬用字元（Wildcard）SSL私鑰與憑證。身為一家市值達100 億美元的資安企業，竟犯下如此「弱智級」錯誤，等於將自家網路安全底牌送...

  Instagram

顯示全部

想了解如何檢查電腦中是否還留有受影響的舊版安裝包，或如何確認憑證是否已失效？

針對「360 安全龍蝦」SSL 私鑰外洩事件，奇虎 360 官方已於 

2026 年 3 月 17 日 發布回應，確認已第一時間對涉事憑證進行吊銷（Revocation）處理，該憑證目前已完全失效。 

Facebook +2

若您擔心電腦中仍存有風險，可透過以下步驟進行檢查與確認：

1. 檢查電腦中是否存在受影響的安裝包

該問題存在於早期公開發布的安裝程序中，您可以手動搜尋並刪除這些檔案：

• 搜尋關鍵字：在電腦中搜尋包含 360安全龍蝦、Security Claw 或 360Claw 字樣的 .exe 或壓縮檔。
• 檢查特定路徑：技術研究指出，私鑰通常被錯誤打包在安裝包解壓後的特定資源資料夾中。若您已安裝該軟體，建議透過 Windows 控制台 移除舊版本，並前往 360 官網 下載修復後的最新版本。 
  Threads +2

2. 如何確認憑證是否已失效？

您可以透過瀏覽器或第三方工具確認該網域（*.myclaw.360.cn）的憑證狀態：

• 瀏覽器即時檢查：
  1. 造訪該產品相關網頁。
  2. 點擊網址列左側的「鎖頭」圖示。
  3. 選擇「連線是安全連線」>「憑證有效（或詳細資料）」。
  4. 若憑證已被吊銷，瀏覽器通常會彈出「您的連線不是私人連線」或「憑證已撤銷」的嚴重警告。
• 使用線上診斷工具：
  • 將網域名稱輸入 DigiCert SSL Checker 或 Qualys SSL Labs 進行掃描。這些工具會檢查憑證的 CRL（憑證撤銷清單） 或透過 OCSP（線上憑證狀態協定） 回傳其是否已被吊銷。 
    DigiCert +6

3. 檢查系統憑證存儲庫（進階建議）

若擔心惡意軟體將該憑證安裝至系統受信任列表，可手動查看：

• 按下 Win + R 鍵，輸入 certmgr.msc 並執行。
• 在「個人」或「受信任的根憑證授權單位」中檢查是否有頒發給 *.myclaw.360.cn 的異常憑證。若發現，可手動點擊右鍵予以移除。