Odaily星球日报 tin, theo giám sát của 1M AI News, nhóm an ninh 360 đã phản hồi về sự cố rò rỉ chứng chỉ wildcard và khóa riêng của OpenClaw, cho biết đây là lỗi trong quá trình vận hành khi đóng gói chứng chỉ miền nội bộ vào gói cài đặt. Chứng chỉ liên quan *.myclaw.360.cn thực tế trỏ đến địa chỉ vòng lặp cục bộ 127.0.0.1, chỉ được sử dụng trên máy người dùng và không cung cấp bất kỳ dịch vụ nào ngoài hệ thống.
Sau khi nhận được báo cáo từ nhiều chuyên gia bảo mật, 360 đã yêu cầu thu hồi chứng chỉ này; hiện tại chứng chỉ đã hết hiệu lực và không thể được sử dụng cho bất kỳ giao tiếp mã hóa HTTPS hợp pháp nào, người dùng thông thường không bị ảnh hưởng. Nguy cơ lý thuyết về tấn công man-in-the-middle trong thời gian rò rỉ vẫn tồn tại, nhưng do dịch vụ tương ứng với chứng chỉ chỉ chạy trong môi trường cục bộ, rủi ro thực tế tương đối hạn chế.
Tin tức trước đó: Package cài đặt trợ lý OpenClaw thuộc sở hữu của 360 bị rò rỉ khóa riêng SSL, Chu Hồng Y từng cam kết “không bao giờ để lộ mật khẩu”