Odaily Planet Daily News: De acordo com monitoramento da 1M AI News, a equipe de segurança da 360 respondeu ao incidente de vazamento de certificado e chave privada de curinga do OpenClaw, afirmando que foi um erro operacional incluir o certificado de domínio interno no pacote de instalação. O certificado envolvido, *.myclaw.360.cn, resolve para o endereço de loopback local 127.0.0.1, sendo usado apenas no computador do usuário e não fornecendo nenhum serviço externo.
Após receber relatos de vários pesquisadores de segurança, a 360 solicitou a revogação desse certificado; atualmente, o certificado está inválido e não pode mais ser usado para qualquer comunicação criptografada HTTPS legítima. Usuários comuns não são afetados. O risco teórico de ataque de homem-no-meio durante o período de vazamento ainda existe, mas como o serviço correspondente ao certificado operava apenas em ambiente local, o risco real é relativamente limitado.
Mensagem anterior: O pacote de instalação do assistente OpenClaw da 360 vazou a chave privada SSL; Zhou Hongyi havia prometido anteriormente "nunca vazar senhas"