360安全龙虾不慎泄露360子域名的通配符证书和私钥目前等待吊销

安全来源：蓝点网 2026-03-18 00:03:18

360安全团队已紧急吊销泄露的证书，同时360安全团队也回应此次安全事故，具体请访问：360回应安全龙虾数字证书和私钥泄露目前已吊销/仅在本地使用无安全风险

据蓝点网网友分享的消息，360 最新发布的 360 安全龙虾不慎将域名证书和私钥同时打包在安全环境中，涉及的域名主要是 *.myclaw.360.cn，该域名负责安全龙虾相关入口的 HTTPS 连接。

360 安全龙虾界面采用定制版 360 安全浏览器，调用地址则是 https://myclaw.360.cn:19798/，要进行 HTTPS 连接那只能将证书和私钥放在本地。

这种加密连接实际上相当于将本机作为服务器使用，所以正确做法可能是使用自签名证书或者内网 IP 地址通过 HTTP 明文访问，否则很难处理证书和私钥问题。

360 工程师在开发安全龙虾时或许也遇到这个问题，所以直接将通配符域名证书和私钥全部放在本地环境中，这虽然可以确保域名正常访问，但也直接泄露私钥文件。

目前蓝点网还不清楚 360 工程师会如何解决这个问题，但想必要么通过局域网 IP 访问，要么就只能使用自签名证书了，至于泄露的证书则应当被立即吊销。

根据安装环境不同，证书路径略有差异：

#Windows 10/11 直装版证书路径： C:\Users\用户名\AppData\Roaming\namiclaw\Application\components\Openclaw\openclaw\credentials #Windows 10/11 WSL 版证书路径： /path/to/namiclaw/components/Openclaw/openclaw.7z/credentials #证书文件分别是： myclaw.360.cn.crt myclaw.360.cn.key

证书信息截图：