Mạnh Quân
Writer
Công ty an ninh mạng lớn nhất Trung Quốc Qihoo 360 vừa gây sốc khi vô tình công khai khóa riêng tư SSL (wildcard *.myclaw.360.cn) ngay trong gói cài đặt công khai của trợ lý AI mới mang tên “360 Security Claw”. Sự cố này khiến bất kỳ ai cũng có thể giả mạo server, đánh cắp dữ liệu và chặn traffic của người dùng đến ít nhất tháng 4/2027.
Theo phân tích từ cộng đồng an ninh mạng quốc tế, khóa bí mật nằm gọn trong file nén 7z tại đường dẫn /namiclaw/components/OpenClaw/openclaw.7z/credentials của bộ cài đặt. Chứng chỉ được cấp bởi WoTrus CA (công ty con của Qihoo 360, trước đây là WoSign – từng bị Google, Mozilla, Apple cấm vì gian lận năm 2016). Chỉ cần tải installer về, giải nén là ai cũng lấy được private key cùng modulus RSA đầy đủ.
Qihoo 360 hiện phục vụ khoảng 461 triệu người dùng toàn cầu. Chỉ 6 ngày trước, chính nhà sáng lập kiêm Chủ tịch Zhou Hongyi còn tuyên bố rùm beng trên mạng xã hội rằng sản phẩm AI mới “sẽ không bao giờ làm lộ mật khẩu người dùng”. Câu nói giờ trở thành trò cười trên khắp diễn đàn an ninh mạng.
Đây không phải lần đầu Qihoo 360 dính bê bối. Công ty từng nhiều lần bị cáo buộc nhét phần mềm gián điệp, quảng cáo độc hại và thậm chí bị đối thủ tố là “malware”. Việc vội vàng đẩy mạnh sản phẩm AI mà bỏ qua bảo mật cơ bản nhất đã khiến giới chuyên gia lo ngại về “lỗ hổng chuỗi cung ứng” trong làn sóng AI Trung Quốc.
Tính đến sáng 17/3/2026, Qihoo 360 chưa có bất kỳ tuyên bố chính thức nào. Chứng chỉ vẫn còn hiệu lực, nghĩa là rủi ro tấn công Man-in-the-Middle vẫn đang treo lơ lửng.Cộng đồng an ninh mạng khuyến cáo: Người dùng đã cài “360 Security Claw” nên gỡ bỏ ngay lập tức và chờ bản vá chính thức. Các chuyên gia cũng kêu gọi các nhà phát triển AI toàn cầu rút kinh nghiệm: bảo mật không phải là thứ có thể “đẩy nhanh tiến độ” được.
Theo phân tích từ cộng đồng an ninh mạng quốc tế, khóa bí mật nằm gọn trong file nén 7z tại đường dẫn /namiclaw/components/OpenClaw/openclaw.7z/credentials của bộ cài đặt. Chứng chỉ được cấp bởi WoTrus CA (công ty con của Qihoo 360, trước đây là WoSign – từng bị Google, Mozilla, Apple cấm vì gian lận năm 2016). Chỉ cần tải installer về, giải nén là ai cũng lấy được private key cùng modulus RSA đầy đủ.
Qihoo 360 hiện phục vụ khoảng 461 triệu người dùng toàn cầu. Chỉ 6 ngày trước, chính nhà sáng lập kiêm Chủ tịch Zhou Hongyi còn tuyên bố rùm beng trên mạng xã hội rằng sản phẩm AI mới “sẽ không bao giờ làm lộ mật khẩu người dùng”. Câu nói giờ trở thành trò cười trên khắp diễn đàn an ninh mạng.
Đây không phải lần đầu Qihoo 360 dính bê bối. Công ty từng nhiều lần bị cáo buộc nhét phần mềm gián điệp, quảng cáo độc hại và thậm chí bị đối thủ tố là “malware”. Việc vội vàng đẩy mạnh sản phẩm AI mà bỏ qua bảo mật cơ bản nhất đã khiến giới chuyên gia lo ngại về “lỗ hổng chuỗi cung ứng” trong làn sóng AI Trung Quốc.
Tính đến sáng 17/3/2026, Qihoo 360 chưa có bất kỳ tuyên bố chính thức nào. Chứng chỉ vẫn còn hiệu lực, nghĩa là rủi ro tấn công Man-in-the-Middle vẫn đang treo lơ lửng.Cộng đồng an ninh mạng khuyến cáo: Người dùng đã cài “360 Security Claw” nên gỡ bỏ ngay lập tức và chờ bản vá chính thức. Các chuyên gia cũng kêu gọi các nhà phát triển AI toàn cầu rút kinh nghiệm: bảo mật không phải là thứ có thể “đẩy nhanh tiến độ” được.
Theo International Cyber Digest, Neowin, Cybersecurity News và các nguồn phân tích độc lập
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: