币须知道据 1M AI News 监测,360 近期发布的安全产品「安全龙虾」被发现将 *.myclaw.360.cn 的通配符域名证书及对应私钥直接打包在本地安装目录中。安全龙虾的界面基于定制版 360 浏览器,通过 https://myclaw.360.cn:19798/ 本地地址访问,工程师为实现这一本地 HTTPS 连接,将通配符证书和私钥一并放入客户端。
该通配符证书覆盖 myclaw.360.cn 下所有子域名,私钥泄露后第三方可伪造该域名下的 HTTPS 加密连接,证书目前尚未吊销。360 SRC 团队回应称此事为内部已知问题,正在处理。
