Приватный ключ сертификата 360 Security Lobster был скомпрометирован, официальные лица заявили, что это ошибка в бизнес-процессах, и сертификат был аннулирован.

Gate News Новости, 17 марта команда 360 Security ответила на утечку сертификата и приватного ключа для безопасного краба (OpenClaw) с использованием шаблонных сертификатов. Официальное заявление гласит, что утечка произошла по причине ошибки в бизнес-процессах: команда случайно включила внутренний доменный сертификат в установочный пакет. Затронутый сертификат — *.myclaw.360.cn, его фактический IP-адрес — 127.0.0.1, локальный адрес обратной связи, используется только на устройстве пользователя и не предоставляет внешних сервисов. После получения сообщений от нескольких исследователей безопасности, 360 подали заявку на отзыв сертификата, который уже аннулирован и не может использоваться для легитимных HTTPS-защищённых соединений. Официальное заявление гласит, что обычные пользователи не пострадали, хотя во время утечки существует теоретический риск атаки посредником, поскольку сертификат предназначен только для локальной среды, и реальный риск считается ограниченным.