在安全圈，“老司机”偶尔也会在阴沟里翻船。近日，360公司 旗下 AI 新品 “360安全龙虾” 被曝出存在严重的初级安全疏漏，引发了行业对 AI 产品发布流程的广泛质疑。

据了解，事件起因于 360安全龙虾 的产品安装包中，被发现直接打包内置了 *.myclaw.360.cn 泛域名的 SSL 私钥与证书。这种做法相当于把自家的“万能钥匙”落在了公共场合，攻击者一旦拿到私钥，理论上可以伪造服务器、发起中间人攻击甚至劫持用户流量。

针对这一风波，360公司 迅速回应称，该问题源于发布环节的低级失误，导致内部域名的网站证书被意外打包进安装包。

为了及时止损，360 已采取以下应急措施:

第一时间吊销: 涉事证书已完成吊销操作，目前已彻底失效。

风险评估: 官方表示，普通用户目前不会受到影响，技术层面已封堵了利用私钥伪造服务器的可能性。

作为国内网络安全的头部厂商，360在自家 AI 产品的安全性上“马失前蹄”，无疑给整个 AI 行业敲响了警钟。在大模型与智能体应用密集发布的当下，如何确保发布环节的自动化检测不流于形式，将成为各家公司亟需补课的一环。