Qihoo 360 Lộ SSL Private Key Trong Gói Cài Đặt, Đe Dọa An Ninh Mạng Hàng Triệu Người Dùng
Qihoo 360, công ty an ninh mạng lớn nhất Trung Quốc với gần 460 triệu người dùng và định giá khoảng 10 tỷ USD, vừa hứng chịu một sự cố bảo mật nghiêm trọng liên quan đến sản phẩm AI mới của họ. Vào đầu năm 2026, OpenClaw, một công cụ AI mã nguồn mở cho phép tự động hóa tác vụ, trở nên cực kỳ phổ biến tại Trung Quốc nhưng nhanh chóng bị giới chuyên gia cảnh báo về hàng loạt lỗ hổng nguy hiểm, bao gồm nguy cơ bị đánh cắp mật khẩu, dữ liệu cá nhân và khả năng bị kẻ xấu lợi dụng để kiểm soát thiết bị.
Ra Mắt Sản Phẩm Mới Với Lời Hứa An Toàn
Nhận thấy cơ hội, Qihoo 360 quyết định ra mắt sản phẩm riêng mang tên 360 Security Lobster, được xây dựng dựa trên nền tảng OpenClaw nhưng được đóng gói lại với lời hứa an toàn hơn, dễ sử dụng hơn và bảo mật hơn. Công ty chọn đúng ngày 10 tháng 3 năm 2026, thời điểm cơ quan an ninh mạng quốc gia Trung Quốc CNCERT ra cảnh báo chính thức về rủi ro của OpenClaw, để công bố sản phẩm mới. Tại buổi ra mắt, ông Zhou Hongyi, nhà sáng lập Qihoo 360, tuyên bố sản phẩm sẽ giải quyết toàn bộ vấn đề mà OpenClaw đang vấp phải và cam kết mạnh mẽ rằng 360 Security Lobster sẽ không gây hại cho hệ thống, không xóa dữ liệu, và đặc biệt không bao giờ làm rò rỉ mật khẩu hay thông tin riêng tư của người dùng.
Phát Hiện Lỗ Hổng Nghiêm Trọng Chỉ Sau 6 Ngày
Tuy nhiên, chỉ 6 ngày sau, vào ngày 16 tháng 3, các nhà nghiên cứu bảo mật phát hiện một sự cố khó tin. Bên trong gói cài đặt miễn phí mà Qihoo 360 phát hành, công ty vô tình nhúng SSL private key, tức chiếc chìa khóa mã hóa bảo vệ toàn bộ hạ tầng kỹ thuật số của nền tảng 360 Security Lobster. Bất kỳ ai tải ứng dụng về và biết cách giải nén file đều có thể tìm thấy chiếc chìa khóa này mà không cần kỹ năng tấn công nào. Các chuyên gia đối chiếu mã MD5 của private key với mã MD5 trong chứng chỉ do Qihoo 360 phát hành và xác nhận chúng khớp nhau hoàn toàn.
Hậu Quả Nguy Hiểm Và Nghịch Lý
Việc để lộ SSL private key tương tự như chủ két sắt tự in chìa khóa gốc vào tờ rơi quảng cáo rồi phát miễn phí ngoài đường. Hệ quả là bất kỳ người nào có được khóa này đều có thể giả mạo hệ thống của Qihoo 360 một cách hoàn hảo, mở ra nhiều rủi ro như tạo trang đăng nhập giả, chặn và đọc toàn bộ dữ liệu người dùng mà không bị phát hiện. Nguy hiểm hơn, người dùng không có dấu hiệu nhận biết vì mọi thứ vẫn hiển thị an toàn như bình thường. Nếu kẻ xấu đã thu thập dữ liệu mã hóa từ trước, toàn bộ lịch sử đó có thể bị giải mã ngược về quá khứ.
Sự cố càng trở nên nghịch lý khi 360 Security Lobster được sinh ra với sứ mệnh vá lỗ hổng của OpenClaw. Nếu rủi ro trước đây của OpenClaw chủ yếu liên quan đến cách sử dụng hoặc phần mềm bên ngoài, thì việc lộ khóa bảo mật lần này ảnh hưởng trực tiếp đến toàn bộ hạ tầng hệ thống, nghiêm trọng hơn nhiều so với bất kỳ lỗ hổng nào mà CNCERT từng cảnh báo.
Sai Sót Cơ Bản Và Phản Ứng Của Công Ty
Theo các chuyên gia, việc để lộ khóa bảo mật này không phải lỗi phức tạp mà là sai sót cơ bản trong quy trình phát triển phần mềm. Dữ liệu nhạy cảm như vậy phải được lưu trữ riêng biệt và không xuất hiện trong file phát hành ra bên ngoài. Với một công ty an ninh mạng có gần 460 triệu người dùng và bộ phận kỹ thuật chuyên nghiệp, đây là điều đáng lẽ phải được kiểm tra từ đầu. Hiện tại, Qihoo 360 cho biết họ đã thu hồi private key bị lộ để ngăn chặn việc sử dụng vào mục đích xấu và khẳng định không có người dùng nào bị ảnh hưởng. Tuy nhiên, do công ty tự làm lộ khóa riêng tư, người dùng có thể bị tấn công mà không hề hay biết.
Bài Học Về An Ninh Mạng Trong Kỷ Nguyên AI
Sự việc này cho thấy một thực tế đáng chú ý: trong cuộc đua phát triển AI, ngay cả những công ty chuyên về an ninh mạng cũng có thể mắc sai sót cơ bản, và hậu quả không chỉ dừng lại ở kỹ thuật mà còn ảnh hưởng trực tiếp đến niềm tin của hàng triệu người dùng. Diễn đàn bảo mật linux.do là nơi đầu tiên phát hiện vụ việc, nhấn mạnh tầm quan trọng của kiểm tra an toàn trong các dự án công nghệ cao.
