Если вы когда-либо смотрели учебное пособие по «кодингу по настроению» (vibe coding), то, вероятно, знаете, что первый совет — никогда не встраивать конфиденциальные ключи непосредственно в код ваших приложений. И хотя таких ошибок ожидают от неопытных разработчиков, крупная компания по кибербезопасности, выпускающая продукт с открытым ключом, — это гораздо более серьезная проблема.
Недавние сообщения свидетельствуют о том, что Qihoo 360, одна из крупнейших китайских компаний в сфере кибербезопасности, случайно включила крайне конфиденциальный универсальный (wildcard) приватный SSL-сертификат в общедоступный установщик своего ассистента 360 Security Claw AI. Этот ассистент является оберткой компании над OpenClaw, вирусным open-source AI-агентом и прародителем всех новых агентских ИИ-инструментов с суффиксом «Claw». Этот недосмотр предоставляет любому, кто загрузил программное обеспечение, точный мастер-ключ, необходимый для аутентификации трафика в инфраструктуре бэкенда компании.
Исследователь безопасности Лукаш Олейник обнаружил действующий SSL-сертификат для домена платформы myclaw.360.cn, который находился совершенно незащищенным внутри несжатого архива. Для распаковки установщика и извлечения приватного ключа достаточно базового инструмента для извлечения данных. Сертификат действителен до апреля 2027 года и охватывает все поддомены платформы.
В довершение всего, основатель Qihoo Чжоу Хунъи представлял этот продукт с публичным обещанием, что он «никогда не будет сливать пароли». В настоящее время компания обслуживает около 461 миллиона пользователей, а ее оценка составляет 10 миллиардов долларов.
Наличие циркулирующего в интернете приватного wildcard-ключа открывает двери для серьезных инфраструктурных атак. Злоумышленники могут использовать этот утечный файл для выдачи себя за серверы 360, перехвата пользовательского трафика или создания невероятно убедительных фишинговых страниц, которые браузеры будут считать абсолютно легитимными. Напомним, что использование легитимных сертификатов в последнее время стало растущей тенденцией в киберподполье. Таким образом, когда компания сама отдает такой ключ на серебряном блюдечке — это сценарий, о котором мечтают хакеры.
На момент написания статьи компания официально не отреагировала на инцидент и не отозвала скомпрометированный ключ.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ivan Jenic
