360 phản hồi về việc rò rỉ khóa riêng của "An toàn Tôm Hùm": do lỗi phát hành, đã thu hồi chứng chỉ

Vào tối ngày 16 tháng 3, để phản hồi về việc “360 An toàn Tôm Hùm” của sản phẩm bị rò rỉ khóa riêng, công ty 360 đã chính thức đưa ra phản hồi, rõ ràng cho biết đã ngay lập tức thu hồi chứng chỉ SSL liên quan, hiện tại chứng chỉ này đã hoàn toàn hết hạn, từ góc độ kỹ thuật đã chặn khả năng kẻ tấn công sử dụng khóa riêng này để giả mạo máy chủ, chiếm đoạt lưu lượng, người dùng bình thường sẽ không bị ảnh hưởng bởi sự cố này.

Phía 360 giải thích, việc rò rỉ khóa riêng lần này xuất phát từ sai sót trong quá trình phát hành sản phẩm, dẫn đến chứng chỉ của trang web nội bộ bị vô tình đóng gói vào gói cài đặt công khai, công ty đã khởi động quy trình kiểm tra nội bộ, sẽ tiếp tục tối ưu hóa cơ chế quản lý an ninh, phòng ngừa các sơ suất tương tự xảy ra lần nữa.

Ngày 14 tháng 3, tập đoàn 360 công bố ra mắt ứng dụng khách hàng thông minh “360 An toàn Tôm Hùm” và thiết bị phần cứng “360 An toàn Tôm Hùm Box”, đồng thời phát hành “360 Tôm Hùm Bảo Vệ” để đối phó với các vấn đề an ninh của OpenClaw (Tôm Hùm).

Sản phẩm này được định vị là công cụ triển khai một nút cho OpenClaw, chức năng cốt lõi là giảm thiểu rào cản triển khai AI tại chỗ, cung cấp dịch vụ tiện lợi cho người dùng phổ thông và doanh nghiệp.

Trong ngày, tại khu vực trụ sở chính của 360 đã tổ chức hoạt động miễn phí lắp đặt “Tôm Hùm”, sáng lập viên Zhou Hongyi còn trực tiếp trình diễn lắp đặt “360 An toàn Tôm Hùm” cho người dùng.

“360 Tôm Hùm Bảo Vệ” là thành phần an ninh gốc của 360 An toàn Tôm Hùm, thông qua môi trường cách ly ảo hóa (WSL), tách biệt môi trường thực thi của AI khỏi dữ liệu người dùng, đồng thời sử dụng động cơ an ninh AI để nhận diện các kỹ năng độc hại, lệnh bất thường và lỗ hổng tiềm ẩn, từ đó chủ động chặn các hành vi tấn công như đầu độc kỹ năng, chèn lệnh kích hoạt.

Zhou Hongyi còn nhấn mạnh, “An toàn luôn là vai phụ, nhiệm vụ của nó là bảo vệ số hóa và trí tuệ, chúng tôi sẽ không thực hiện việc chặn quá mức, không làm phiền người dùng trong sử dụng bình thường, chỉ giải quyết các vấn đề an ninh cốt lõi.”

Tuy nhiên, hai ngày sau, vào ngày 16 tháng 3, các nhà nghiên cứu cộng đồng an ninh khi giải nén gói cài đặt sản phẩm đã phát hiện ra chứng chỉ SSL của tên miền rộng và khóa RSA tương ứng được lưu trữ rõ ràng trong một đường dẫn nhất định.

Là chứng chỉ an ninh cốt lõi, nếu khóa riêng của chứng chỉ này bị rò rỉ, kẻ tấn công về lý thuyết có thể giả mạo dịch vụ HTTPS của các tên miền liên quan, thực hiện tấn công trung gian, từ đó đánh cắp dữ liệu người dùng, phát tán phần mềm độc hại, v.v.

Là nhà cung cấp có hoạt động chính là an ninh mạng, việc 360 vô tình đóng gói khóa riêng vào gói cài đặt công khai lần này bị ngành đánh giá là một sơ suất an ninh nghiêm trọng.

OpenClaw (thường gọi là “Tôm Hùm”) là khung mã nguồn mở, nhờ khả năng tự động hóa công việc văn phòng, thao tác hệ thống, gọi API và các chức năng đa dạng khác, được cộng đồng mạng gọi là “Nhân viên AI toàn năng”, từ đầu năm nay đã nhanh chóng lan rộng trong giới công nghệ trong nước, gần đây còn gây làn sóng “Nuôi Tôm Hùm” toàn dân.

Chuỗi ngành liên quan đang nóng lên, Baidu tổ chức “Chợ Tôm Hùm” thu hút hàng nghìn người xếp hàng cài đặt, Tencent cung cấp dịch vụ triển khai miễn phí dưới tòa nhà văn phòng, Mac mini phù hợp với OpenClaw xuất hiện hết hàng toàn quốc, thị trường thứ cấp có giá cao hơn. Về chính sách, nhiều địa phương cũng đã liên tục ban hành các chính sách hỗ trợ.

Tuy nhiên, sau cơn sốt, các rủi ro về an ninh của OpenClaw cũng đã lộ rõ. Trung tâm Ứng cứu Khẩn cấp Internet Quốc gia và Bộ Công Thông tin đã lần lượt đưa ra cảnh báo an ninh, chỉ ra cấu hình an ninh mặc định yếu, tồn tại các rủi ro như phơi bày ra công cộng, rò rỉ khóa, đầu độc plugin, hiện đã có nhiều trường hợp bị tấn công OpenClaw trên toàn cầu.

Việc 360 xuất hiện rò rỉ khóa riêng lần này cũng làm nổi bật tính cấp thiết của việc quản lý an ninh của các nhà cung cấp trong quá trình phổ biến nhanh chóng của AI thông minh.