网友：早说 360 周鸿祎信不过的啦！

「360 安全龙虾泛域名私钥泄漏，打进了安装包」，近日，安全社区发现：360 刚发布的 AI Agent 产品 "360安全龙虾"（基于 OpenClaw 的一键部署客户端），在其公开安装包中，包含了 *.myclaw.360.cn 泛域名证书的 SSL 私钥文件。一家以安全为核心卖点的公司，把自己的通配符证书私钥，打包进了面向公众分发的安装包里。

SSL 私钥是 HTTPS 加密通信的核心。持有某域名的 SSL 私钥，在技术上意味着：

1. 中间人攻击（MITM）在公共 Wi-Fi、企业内网、运营商链路等场景下，第三方可以利用该私钥伪造 *.myclaw.360.cn 下任意子域名的合法 HTTPS 服务。由于证书本身是合法签发的，客户端不会弹出任何安全警告，用户的加密流量可被实时解密。

2. API Key 截获风险360安全龙虾作为 OpenClaw 部署工具，用户在使用过程中通常会配置各类大模型的 API Key。如果客户端与 *.myclaw.360.cn 之间的通信被中间人劫持，这些 API Key 存在被明文截获的风险。

3. 供应链劫持如果客户端的自动更新、配置下发等机制依赖于该域名的 HTTPS 验证，攻击者理论上可以伪造服务器，向客户端推送未经授权的指令或代码。需要说明的是，以上是泛域名私钥泄露后在技术层面客观存在的风险面，并不代表这些攻击已经实际发生。

你们怎么看？