在3月14日这天,360集团拿出了他们的“360安全龙虾”智能体客户端和对应的硬件终端——Box,还给大家准备了“360龙虾卫士”来对付OpenClaw带来的麻烦。这个卫士主要是帮着用户快速部署智能体,降低门槛。那天周鸿祎还在自家园区搞了个免费安装活动,他亲自上阵给用户演示安装过程。为了不让攻击进来捣乱,“360龙虾卫士”是用WSL沙箱把执行环境给隔离开了,数据和智能体的运行空间分开了。再加上AI引擎盯着那些异常技能和漏洞,就能主动把技能投毒、提示词注入这种坏事给拦下来。 周鸿祎一直觉得安全不该太显眼,只需要在后面保护好就行,别太打扰用户的正常使用。可是到了3月16号晚上,问题就来了。有安全研究人员在解压安装包的时候发现,在特定路径下躺着明文存储的泛域名SSL证书和RSA私钥。这私钥要是被坏人拿到了,那可了不得,理论上就能伪造HTTPS服务干坏事,比如中间人攻击来偷数据。 360公司赶紧出来回应说是发布时操作失误了,把内部域名的证书给打包进去了。他们已经第一时间把涉事的SSL证书吊销了,现在证书完全失效了。360方面解释说已经在排查内部流程了,以后会优化安全管理机制,避免再出这种错。对于普通用户来说其实没啥影响。 把OpenClaw这套开源框架叫成“龙虾”,因为它什么都能干,自动办公、操作系统、调API都行,所以大家叫它“全能AI打工人”,今年年初国内就火得一塌糊涂。现在大家都在跟风“养龙虾”,产业链都跟着热起来了。百度办市集排队装龙虾,腾讯大楼下面提供免费服务。适配OpenClaw的Mac mini现在全国都缺货了,二手市场还在涨价。 政策层面上各地也在给扶持政策。不过在这股热潮下面,OpenClaw的安全隐患也慢慢显出来了。国家互联网应急中心和工信部之前都发过预警说这东西默认配置太弱了,存在公网暴露、密钥泄露这些问题。现在全球已经有不少OpenClaw被黑客给盯上了。 这次360闹出这么个事也说明AI智能体普及得太快了点,厂商在安全管理上的紧迫感确实要加强才行。