360がセキュリティロブスターの秘密鍵漏洩に応答：業務ミスが原因、証明書はローカル専用で失効済み

Odailyの報道によると、1M AI Newsの監視データに基づき、360セキュリティチームはセキュリティロブスター（OpenClaw）のワイルドカード証明書と秘密鍵漏洩事件について応答し、業務ミスにより内部ドメイン証明書がインストールパッケージに同梱されたと説明した。問題の証明書 *.myclaw.360.cn の実際の解決アドレスは127.0.0.1のローカルループバックアドレスであり、ユーザーのローカルマシンでのみ使用され、外部にサービスを提供しない。

複数のセキュリティ研究者からの報告を受けて、360はすでに当該証明書の失効を申請しており、現在証明書は無効化され、正当なHTTPS暗号化通信には使用できなくなった。一般ユーザーへの影響はない。漏洩期間中の中間者攻撃の理論的リスクは依然として存在するが、証明書が対応するサービスはローカル環境でのみ実行されるため、実際のリスクは比較的限定的である。