360 responde ao vazamento da chave privada do "Lagostim de Segurança": foi um erro de publicação, o certificado já foi revogado

Na noite de 16 de março, em resposta à divulgação do vazamento da chave privada do produto “360 Segurança Lagosta”, a empresa 360 emitiu uma resposta oficial, esclarecendo que revogou imediatamente o certificado SSL envolvido. Atualmente, esse certificado está completamente inválido, bloqueando tecnicamente a possibilidade de atacantes utilizarem a chave privada para falsificar servidores ou sequestrar tráfego. Usuários comuns não serão afetados por este incidente.

A 360 explicou que o vazamento da chave privada ocorreu devido a um erro operacional na fase de lançamento do produto, que resultou na inclusão acidental do certificado do domínio interno no pacote de instalação público. A empresa iniciou um processo de investigação interna e irá otimizar ainda mais seus mecanismos de gestão de segurança para evitar falhas semelhantes no futuro.

Em 14 de março, o grupo 360 anunciou o lançamento do cliente de aplicação inteligente “360 Segurança Lagosta” e do hardware “360 Segurança Lagosta Box”, além de divulgar o “Guardião Lagosta 360”, uma ferramenta específica para lidar com questões de segurança do OpenClaw (Lagosta).

Este produto é uma ferramenta de implantação de um clique para o agente inteligente OpenClaw, com o objetivo principal de reduzir a barreira de implantação local de IA, oferecendo serviços convenientes para usuários comuns e empresas.

Na mesma data, a 360 organizou uma atividade especial no seu parque corporativo para instalação gratuita do “Lagosta”, com o fundador Zhou Hongyi demonstrando ao vivo a instalação do “360 Segurança Lagosta” para os usuários.

O “Guardião Lagosta 360”, componente de segurança nativo do 360 Segurança Lagosta, opera em um ambiente isolado por meio de sandbox virtualizado (WSL), separando o espaço de execução do agente inteligente dos dados do usuário. Utiliza um motor de segurança AI para identificar habilidades maliciosas, comandos anômalos e vulnerabilidades potenciais, interceptando ativamente ataques como injeção de comandos maliciosos ou injeção de palavras-chave.

Zhou Hongyi destacou ainda que “a segurança é sempre um coadjuvante; sua missão é proteger a digitalização e a inteligência, sem fazer interceptações excessivas ou perturbar o uso normal dos usuários, focando apenas na resolução dos problemas de segurança essenciais.”

No entanto, dois dias depois, em 16 de março, pesquisadores da comunidade de segurança ao descompactar o pacote de instalação do produto descobriram a presença de certificados SSL de domínio genérico e suas chaves RSA privadas armazenados em texto claro em um caminho específico.

Como um certificado de segurança fundamental, a divulgação da chave privada poderia permitir que atacantes falsificassem serviços HTTPS relacionados ao domínio, realizando ataques man-in-the-middle, roubando dados de usuários ou disseminando malware.

Como uma empresa cujo negócio principal é segurança de rede, a inclusão acidental da chave privada interna no pacote de instalação público foi considerada uma falha de segurança grave pela indústria.

O framework de código aberto OpenClaw (conhecido como “Lagosta”) permite automação de tarefas como escritório, operações de sistema e chamadas de API, sendo apelidado pelos usuários de “trabalhador AI versátil”. Desde o início do ano, tem ganhado rápida popularidade no setor de tecnologia nacional, gerando uma onda de “criação de lagostas” em todo o país.

A cadeia produtiva relacionada tem registrado aumento de interesse, com Baidu promovendo o “Mercado de Lagostas” atraindo milhares de pessoas na fila para instalação, Tencent oferecendo serviços de implantação gratuitos em seu prédio de escritórios, e o Mac mini compatível com OpenClaw enfrentando escassez nacional e aumento de preços no mercado de segunda mão. Governos locais também lançaram políticas de apoio.

Por outro lado, os riscos de segurança do OpenClaw também se tornaram evidentes. O Centro Nacional de Resposta a Emergências de Internet e o Ministério da Indústria e Tecnologia da Informação já emitiram alertas de segurança, apontando configurações padrão fracas, riscos de exposição pública, vazamento de chaves e injeção de plugins maliciosos. Diversos incidentes de ataques a OpenClaw por hackers já foram registrados globalmente.

O vazamento da chave privada pela 360 evidencia a urgência de melhorias na gestão de segurança dos fabricantes durante a rápida popularização de agentes inteligentes de IA.