3月16日晚，針對旗下產品“360安全龍蝦”被曝私鑰泄露一事，360公司作出正式回應，明確表示已第一時間吊銷涉事SSL證書，目前該證書已完全失效，從技術層面阻斷了攻擊者利用該私鑰偽造服務器、劫持流量的可能，普通用戶不會受到此次事件影響。

360方面解釋，此次私鑰泄露源于產品發布環節的操作失誤，導致內部域名的網站證書被意外打包至公開安裝包中，公司已啟動內部排查流程，將進一步優化安全管理機制，防范類似疏漏再次發生。

3月14日，360集團宣布推出“360安全龍蝦”智能體應用客戶端及“360安全龍蝦Box”硬件終端，并發布專門應對OpenClaw（龍蝦）安全問題的“360龍蝦衛士”。

該產品定位為OpenClaw智能體的一鍵部署工具，核心功能是降低AI智能體的本地部署門檻，面向普通用戶與企業用戶提供便捷服務。

當天，360在總部園區特設了免費裝“龍蝦”活動，創始人周鴻祎還在現場演示為用戶安裝部署“360安全龍蝦”。

“360龍蝦衛士”作為360安全龍蝦的原生安全組件，通過虛擬化沙箱（WSL）隔離運行環境，將智能體執行空間與用戶數據進行分離，并借助AI安全引擎識別惡意技能、異常指令以及潛在漏洞，從而主動攔截技能投毒、提示詞注入等攻擊行為。

周鴻祎還強調，“安全永遠是配角，它的使命是為數字化、智能化保駕護航，我們不會做過度攔截，不打擾用戶的正常使用，只解決核心安全問題。”

但兩天后，3月16日，安全社區研究人員在解壓該產品安裝包時，發現其特定路徑下存在明文存儲的泛域名SSL證書及對應RSA私鑰。

作為核心安全憑證，該證書的私鑰一旦泄露，攻擊者理論上可借此偽造相關域名的HTTPS服務，實施中間人攻擊，進而竊取用戶數據、傳播惡意程序等。

作為以網絡安全為核心業務的廠商，360此次將內部私鑰意外打包進公開安裝包，被行業內視為較為嚴重的安全疏漏。

OpenClaw（俗稱“龍蝦”）開源框架，因可實現自動辦公、系統操作、API調用等多元化功能，被網友稱為“全能AI打工人”，自今年年初起迅速席卷國內科技圈，近期還掀起了全民“養龍蝦”的熱潮。

相關產業鏈熱度飆升，百度舉辦“龍蝦市集”吸引千人排隊安裝，騰訊在辦公大廈樓下提供免費部署服務，適配OpenClaw的Mac mini出現全國斷貨、二手市場溢價的現象。政策層面，多地政府也密集出臺扶持政策。

但熱潮背后，OpenClaw的安全隱患也已顯現。國家互聯網應急中心、工信部此前已先后發布安全預警，指出其默認安全配置薄弱，存在公網暴露、密鑰泄露、插件投毒等風險，目前全球已有多個OpenClaw被黑客攻擊實例。

此次360出現私鑰泄露，也突顯出AI智能體快速普及過程中，廠商安全管理的緊迫性。