獨家／中國「養龍蝦」出事了　百億資安巨擘「弱智級」錯誤淪國際笑柄

民視新聞／蘇恩民報導

近期全球AI用戶掀起一陣「養龍蝦」熱潮，各種AI助理工具如雨後春筍般問世。然而，中國最大、坐擁約 4.61 億用戶的資安巨頭「奇虎360（Qihoo 360）」，卻因搶搭這波熱潮而狠砸招牌。該公司日前高調推出全新 AI 助理產品「360安全龍蝦（Security Claw）」，被抓包在公開下載的軟體安裝包中，直接附上自家網站的萬用字元（Wildcard）SSL 私鑰與憑證。身為一家市值達 100 億美元的資安企業，竟犯下如此「弱智級」錯誤，等於將自家網路安全底牌送給全世界，也讓奇虎360 瞬間淪為國際笑柄。

近來科技界爆紅的開源AI代理系統OpenClaw，不僅僅是一個聊天機器人，而是被定義為AI Agent（AI代理人），用戶需要透過指令指導、訓練OpenClaw，同時須花費一定成本使用AI模型或租用伺服器，因OpenClaw的標誌是一隻龍蝦，網友便將安裝和使用過程稱為「養龍蝦」。

核彈級失誤：把「萬能鑰匙」藏在公開下載檔中

奇虎360 成立於 2005 年，由創辦人周鴻禕一手打造，旗下擁有 360 安全衛士、360 殺毒等產品，在中國市場佔有絕對的主導地位，常被視為與 Norton 或 McAfee 齊名的「國民級」安全軟體。沒想到這家主打「安全」的資安界巨擘，卻在這次新產品發布中面臨毀滅性的信任危機。

整起事件在 2026 年 3 月 16 日被知名資安研究員 Lukasz Olejnik 揭露。他經過技術分析後發現，「360安全龍蝦」的介面實際上是基於 OpenClaw 瀏覽器框架進行的客製化封裝（Wrapper）。當他拆解名為 namiclaw.exe 的安裝檔時，驚訝地在 /path/to/namiclaw/components/Openclaw/openclaw.7z/credentials 這個目錄路徑下，找到了一組毫無保護措施、正在營運環境中使用的 TLS/SSL 私鑰。

這組由 WoTrus CA Limited 簽發的憑證，涵蓋範圍是 *.myclaw.360.cn，也就是俗稱的「萬用字元（Wildcard）憑證」，其有效期限更長達一年，至 2027 年 4 月 12 日才到期。

災難性後果　駭客的「完美作案工具」

這意味著什麼？在密碼學與資安實務中，SSL 私鑰是 HTTPS 加密連線的絕對信任基礎。一旦私鑰外洩，且對應的是萬用字元網域，其「爆炸半徑」將波及該網域下的所有子服務。

技術分析指出，只要任何人下載了這份安裝包取得私鑰，就能輕易發動「中間人攻擊（MitM）」，無聲無息地攔截並解密使用者與 360 AI 伺服器之間的所有通訊。此外，攻擊者還能架設偽造的官方登入頁面進行「帳密收割（Credential harvesting）」，或是直接騎劫使用者的 AI 查詢對話。更荒謬的是，正常的本地服務連線理應使用自簽名憑證或 HTTP 明文訪問，奇虎360 的開發團隊卻將一條真正營運中的網站憑證硬生生塞進本地端環境，直接將防護大門敞開。

嘲諷滿天飛　創辦人「絕不洩密」慘遭打臉

犯下這種教科書等級的低級失誤，讓奇虎360 瞬間淪為國際笑柄。在社群平台 X（原 Twitter）上，各國資安人員與網民的批評聲浪如海嘯般湧入。

知名加密貨幣社群領袖「比特幣橙子Trader」發文驚呼：「震驚！做安全起家的 360，居然把『底牌』送給了全世界？」並質疑一家擁有 4.61 億用戶的百億市值公司，在發布產品前竟然沒有人檢查過壓縮包。另一位科技圈KOL「Xiao Tan」則直言場面「有點尷尬」，並無情打臉奇虎360 創辦人：「產品發布時說『絕不會洩露密碼』，結果發布當天，安裝包本身就是洩露源。」 韓國網友「지구별여행자」也特地將此事件翻譯成韓文，同樣對這項「絕不外洩」的承諾大加嘲弄。

台灣網友的反應則更加一針見血，時評帳號「讓子彈飛一會」毫不客氣地抨擊：「中共產物大力出奇蹟，可惜是奇蹟地搞笑的又來了！」 並警告這家中國最大網路安全公司帶來的巨大風險。香港知名電腦硬體網站 HKEPC 更是直接在新聞標題中，以「犯下弱智錯誤」來定調此次荒唐的洩漏事件。

國安隱憂　「不透明風險」與個資蒐集爭議

從產業深度視角來看，此次風暴絕非單純的駭客攻擊，而是企業內部治理的全面崩壞。台灣資安業者「竣盟科技」總經理鄭加海便點出核心問題：這並非高階攻擊，而是源於開發與發布流程中的基本控管缺口。他也提醒生成式AI真正的風險，往往來自金鑰與憑證管理、軟體供應鏈安全、發布流程治理、內部審核與稽核機制，這些看似基礎的元素，實際上構成整體安全架構的核心。

因此，在成熟的安全軟體開發生命週期（Secure SDLC）中，理應具備敏感資訊自動掃描機制、金鑰集中管理（KMS）以及發布前的嚴格安全審查。奇虎360 身為資安大廠，卻將理應放在保險箱裡的高度敏感私鑰，隨意丟在公開發布的軟體中，顯示其內部稽核機制形同虛設。

而這起事件同時也挑動了國家安全的敏感神經。台灣國家安全局日前才剛公開示警，部分中國開發的生成式 AI 與相關應用，在雲端運算與資料交換上存在極大的「不透明風險」與個資蒐集爭議。奇虎360 這樣一個結合「安全、防護、流量與數據」的龐大網路生態體系，其基礎安全架構竟如此脆弱，無疑加深了國際市場對中國軟體供應鏈安全性的長期疑慮。

資安專家示警　用戶仍處於曝險狀態

儘管奇虎360 官方事後表示已完成應急處理並吊銷涉事證書，聲稱普通用戶不受影響。但資安專家警告，由於線上憑證狀態協定（OCSP）的快取特性，憑證的撤銷並非瞬間生效，部分用戶仍可能處於曝險狀態。

在 AI 浪潮席捲全球的今天，企業爭相競逐模型能力與應用創新，但這場「360安全龍蝦」引發的資安災難提醒了所有人：再強大的 AI 功能，若連最基礎的金鑰管理與發布流程都無法守住，最終只會成為駭客眼中最肥美的獵物。