Qihoo 360 để lộ chìa khóa SSL trong AI mới, tạo rủi ro lớn cho người dùng
Qihoo 360, công ty an ninh mạng hàng đầu Trung Quốc với gần 460 triệu người dùng và định giá khoảng 10 tỷ USD, đã vấp phải một sự cố bảo mật nghiêm trọng liên quan đến sản phẩm AI mới của họ. Chỉ 6 ngày sau khi ra mắt 360 Security Lobster, một công cụ được thiết kế để khắc phục các lỗ hổng của OpenClaw, các nhà nghiên cứu phát hiện rằng chìa khóa SSL riêng tư bảo vệ toàn bộ hệ thống đã bị nhúng vào gói cài đặt miễn phí.
Bối cảnh ra mắt sản phẩm AI mới
Vào đầu năm 2026, OpenClaw, một công cụ AI mã nguồn mở cho phép tự động hóa các tác vụ, trở nên cực kỳ phổ biến tại Trung Quốc. Tuy nhiên, công cụ này nhanh chóng bị giới chuyên gia cảnh báo về hàng loạt lỗ hổng nguy hiểm, bao gồm nguy cơ đánh cắp mật khẩu, dữ liệu cá nhân và khả năng bị kẻ xấu lợi dụng để kiểm soát thiết bị. Nhận thấy cơ hội, Qihoo 360 đã chọn ngày 10 tháng 3 năm 2026, thời điểm cơ quan an ninh mạng quốc gia Trung Quốc CNCERT ra cảnh báo chính thức về OpenClaw, để ra mắt 360 Security Lobster.
Trong buổi ra mắt, ông Zhou Hongyi, nhà sáng lập Qihoo 360, đã tuyên bố sản phẩm mới sẽ giải quyết toàn bộ vấn đề của OpenClaw và cam kết mạnh mẽ rằng nó sẽ không gây hại, không xóa dữ liệu và không bao giờ làm rò rỉ thông tin riêng tư. Tuyên bố này nhằm xây dựng niềm tin cho hàng triệu người dùng lo lắng về an toàn AI.
Phát hiện sự cố chìa khóa bảo mật bị lộ
Ngày 16 tháng 3, các nhà nghiên cứu bảo mật từ diễn đàn linux.do phát hiện rằng gói cài đặt của 360 Security Lobster chứa SSL private key, chìa khóa mã hóa bảo vệ toàn bộ hạ tầng kỹ thuật số. Bất kỳ ai tải ứng dụng và giải nén file đều có thể tìm thấy chìa khóa này mà không cần kỹ năng tấn công. Họ đã đối chiếu mã MD5 của private key với mã MD5 trong chứng chỉ do Qihoo 360 phát hành và xác nhận chúng khớp nhau.
Trong điều kiện bình thường, dữ liệu người dùng được mã hóa như đặt trong két sắt, chỉ máy chủ chính thức mới có chìa khóa mở. Tuy nhiên, việc để lộ SSL private key tương tự như chủ két sắt in chìa khóa gốc vào tờ rơi quảng cáo và phát miễn phí. Hệ quả là bất kỳ ai có khóa này đều có thể giả mạo hệ thống Qihoo 360 hoàn hảo, tạo ra các trang đăng nhập giả hoặc chặn đọc dữ liệu người dùng mà không bị phát hiện.
Hậu quả và phản ứng từ Qihoo 360
Sự cố này càng nghịch lý khi 360 Security Lobster được sinh ra để vá lỗi OpenClaw. Nếu các rủi ro trước đây của OpenClaw chủ yếu liên quan đến cách sử dụng, thì việc lộ khóa bảo mật ảnh hưởng trực tiếp đến toàn bộ hạ tầng hệ thống, nghiêm trọng hơn nhiều so với cảnh báo của CNCERT. Các chuyên gia nhận định đây không phải lỗi phức tạp mà là sai sót cơ bản trong quy trình phát triển phần mềm, đáng lẽ phải được kiểm tra từ đầu bởi một công ty an ninh mạng chuyên nghiệp.
Hiện tại, Qihoo 360 cho biết họ đã thu hồi private key bị lộ để ngăn chặn sử dụng vào mục đích xấu và khẳng định không có người dùng nào bị ảnh hưởng. Tuy nhiên, do công ty tự làm lộ khóa, người dùng có thể bị tấn công mà không hề hay biết, vì mọi thứ vẫn hiển thị an toàn như bình thường và dữ liệu mã hóa từ trước có thể bị giải mã ngược.
Bài học từ sự việc
Sự việc lần này cho thấy một thực tế đáng chú ý: trong cuộc đua phát triển AI, ngay cả công ty an ninh mạng hàng đầu cũng có thể mắc sai sót cơ bản, gây hậu quả không chỉ về kỹ thuật mà còn ảnh hưởng đến niềm tin của hàng triệu người dùng. Nó nhấn mạnh tầm quan trọng của việc tuân thủ quy trình bảo mật nghiêm ngặt, đặc biệt khi xử lý dữ liệu nhạy cảm như chìa khóa mã hóa.
