獨家/中國「養龍蝦」出事了 百億資安巨擘「弱智級」錯誤淪國際笑柄
民視新聞/蘇恩民報導
近期全球AI用戶掀起一陣「養龍蝦」熱潮,各種AI助理工具如雨後春筍般問世。然而,中國最大、坐擁約 4.61 億用戶的資安巨頭「奇虎360(Qihoo 360)」,卻因搶搭這波熱潮而狠砸招牌。該公司日前高調推出全新 AI 助理產品「360安全龍蝦(Security Claw)」,被抓包在公開下載的軟體安裝包中,直接附上自家網站的萬用字元(Wildcard)SSL 私鑰與憑證。身為一家市值達 100 億美元的資安企業,竟犯下如此「弱智級」錯誤,等於將自家網路安全底牌送給全世界,也讓奇虎360 瞬間淪為國際笑柄。
近來科技界爆紅的開源AI代理系統OpenClaw,不僅僅是一個聊天機器人,而是被定義為AI Agent(AI代理人),用戶需要透過指令指導、訓練OpenClaw,同時須花費一定成本使用AI模型或租用伺服器,因OpenClaw的標誌是一隻龍蝦,網友便將安裝和使用過程稱為「養龍蝦」。
核彈級失誤:把「萬能鑰匙」藏在公開下載檔中
奇虎360 成立於 2005 年,由創辦人周鴻禕一手打造,旗下擁有 360 安全衛士、360 殺毒等產品,在中國市場佔有絕對的主導地位,常被視為與 Norton 或 McAfee 齊名的「國民級」安全軟體。沒想到這家主打「安全」的資安界巨擘,卻在這次新產品發布中面臨毀滅性的信任危機。
整起事件在 2026 年 3 月 16 日被知名資安研究員 Lukasz Olejnik 揭露。他經過技術分析後發現,「360安全龍蝦」的介面實際上是基於 OpenClaw 瀏覽器框架進行的客製化封裝(Wrapper)。當他拆解名為 namiclaw.exe 的安裝檔時,驚訝地在 /path/to/namiclaw/components/Openclaw/openclaw.7z/credentials 這個目錄路徑下,找到了一組毫無保護措施、正在營運環境中使用的 TLS/SSL 私鑰。
這組由 WoTrus CA Limited 簽發的憑證,涵蓋範圍是 *.myclaw.360.cn,也就是俗稱的「萬用字元(Wildcard)憑證」,其有效期限更長達一年,至 2027 年 4 月 12 日才到期。
災難性後果 駭客的「完美作案工具」
這意味著什麼?在密碼學與資安實務中,SSL 私鑰是 HTTPS 加密連線的絕對信任基礎。一旦私鑰外洩,且對應的是萬用字元網域,其「爆炸半徑」將波及該網域下的所有子服務。
技術分析指出,只要任何人下載了這份安裝包取得私鑰,就能輕易發動「中間人攻擊(MitM)」,無聲無息地攔截並解密使用者與 360 AI 伺服器之間的所有通訊。此外,攻擊者還能架設偽造的官方登入頁面進行「帳密收割(Credential harvesting)」,或是直接騎劫使用者的 AI 查詢對話。更荒謬的是,正常的本地服務連線理應使用自簽名憑證或 HTTP 明文訪問,奇虎360 的開發團隊卻將一條真正營運中的網站憑證硬生生塞進本地端環境,直接將防護大門敞開。
嘲諷滿天飛 創辦人「絕不洩密」慘遭打臉
犯下這種教科書等級的低級失誤,讓奇虎360 瞬間淪為國際笑柄。在社群平台 X(原 Twitter)上,各國資安人員與網民的批評聲浪如海嘯般湧入。
知名加密貨幣社群領袖「比特幣橙子Trader」發文驚呼:「震驚!做安全起家的 360,居然把『底牌』送給了全世界?」並質疑一家擁有 4.61 億用戶的百億市值公司,在發布產品前竟然沒有人檢查過壓縮包。另一位科技圈KOL「Xiao Tan」則直言場面「有點尷尬」,並無情打臉奇虎360 創辦人:「產品發布時說『絕不會洩露密碼』,結果發布當天,安裝包本身就是洩露源。」 韓國網友「지구별여행자」也特地將此事件翻譯成韓文,同樣對這項「絕不外洩」的承諾大加嘲弄。
台灣網友的反應則更加一針見血,時評帳號「讓子彈飛一會」毫不客氣地抨擊:「中共產物大力出奇蹟,可惜是奇蹟地搞笑的又來了!」 並警告這家中國最大網路安全公司帶來的巨大風險。香港知名電腦硬體網站 HKEPC 更是直接在新聞標題中,以「犯下弱智錯誤」來定調此次荒唐的洩漏事件。
國安隱憂 「不透明風險」與個資蒐集爭議
從產業深度視角來看,此次風暴絕非單純的駭客攻擊,而是企業內部治理的全面崩壞。台灣資安業者「竣盟科技」總經理鄭加海便點出核心問題:這並非高階攻擊,而是源於開發與發布流程中的基本控管缺口。他也提醒生成式AI真正的風險,往往來自金鑰與憑證管理、軟體供應鏈安全、發布流程治理、內部審核與稽核機制,這些看似基礎的元素,實際上構成整體安全架構的核心。
因此,在成熟的安全軟體開發生命週期(Secure SDLC)中,理應具備敏感資訊自動掃描機制、金鑰集中管理(KMS)以及發布前的嚴格安全審查。奇虎360 身為資安大廠,卻將理應放在保險箱裡的高度敏感私鑰,隨意丟在公開發布的軟體中,顯示其內部稽核機制形同虛設。
而這起事件同時也挑動了國家安全的敏感神經。台灣國家安全局日前才剛公開示警,部分中國開發的生成式 AI 與相關應用,在雲端運算與資料交換上存在極大的「不透明風險」與個資蒐集爭議。奇虎360 這樣一個結合「安全、防護、流量與數據」的龐大網路生態體系,其基礎安全架構竟如此脆弱,無疑加深了國際市場對中國軟體供應鏈安全性的長期疑慮。
資安專家示警 用戶仍處於曝險狀態
儘管奇虎360 官方事後表示已完成應急處理並吊銷涉事證書,聲稱普通用戶不受影響。但資安專家警告,由於線上憑證狀態協定(OCSP)的快取特性,憑證的撤銷並非瞬間生效,部分用戶仍可能處於曝險狀態。
在 AI 浪潮席捲全球的今天,企業爭相競逐模型能力與應用創新,但這場「360安全龍蝦」引發的資安災難提醒了所有人:再強大的 AI 功能,若連最基礎的金鑰管理與發布流程都無法守住,最終只會成為駭客眼中最肥美的獵物。