Odaily星球日報によると、1M AI Newsの監視によると、360セキュリティチームは、セキュリティクラブ(OpenClaw)のワイルドカード証明書と秘密鍵の漏洩事件について、内部ドメイン証明書がインストールパッケージに誤って同梱されたとの対応を発表しました。対象となる証明書 *.myclaw.360.cn の実際の解決先は127.0.0.1のローカルループバックアドレスであり、ユーザーのローカルマシンでのみ使用され、外部へのサービス提供は行っていません。
複数のセキュリティ研究者からの報告を受け、360はこの証明書の取り消しを申請しました。現在、この証明書は無効となっており、合法的なHTTPS暗号通信に使用できなくなりましたが、一般ユーザーには影響ありません。漏洩期間中の中間者攻撃の理論的リスクは依然として存在しますが、この証明書に関連するサービスはローカル環境でのみ動作しているため、実際のリスクは比較的限定的です。
以前の情報:360傘下のOpenClawアシスタントインストーラーからSSL秘密鍵が漏洩、周鸿祎は以前「パスワードを絶対に漏らさない」と約束していた