Qihoo 360 expõe chave SSL privada em instalador de IA
A Qihoo 360, uma das maiores empresas de cibersegurança da China, com mais de 461 milhões de usuários, cometeu um erro operacional grave ao incluir sua própria chave privada SSL wildcard diretamente no instalador público de seu novo assistente de IA, o 360Qihoo (Security Claw). A falha, descoberta em 16 de março de 2026, representa uma falha fundamental nas práticas de desenvolvimento seguro de software de uma organização que vende segurança como produto principal.
O que foi exposto
Os pesquisadores que baixaram o instalador encontraram uma chave privada TLS de nível de produção, desprotegida, dentro do pacote no caminho /path/to/namiclaw/components/Openclaw/openclaw.7z/credentials. O certificado, emitido pela WoTrus CA Limited, possui o sujeito CN=*.myclaw.360.cn, uma designação wildcard que significa que é criptograficamente válido para todos os subdomínios sob o domínio myclaw.360.cn.
A janela de validade da chave corre de 12 de março de 2026 a 12 de abril de 2027. A correspondência entre o certificado e a chave RSA foi confirmada através de verificações de módulo OpenSSL, que mostraram hashes MD5 idênticos para ambos, provando que são um par correspondente.
Impacto e riscos
A posse de uma chave privada SSL/TLS permite que um adversário realize ataques de alto impacto. Entre as ameaças identificadas estão:
- Interceptação Man-in-the-Middle (MitM) — decifrar silenciosamente todo o tráfego entre os usuários e os servidores de IA da Qihoo.
- Impersonação de servidor — criar um endpoint falso de myclaw.360.cn que os navegadores confiam como legítimo.
- Roubo de credenciais — servir páginas de login convincentes que capturam nomes de usuário e senhas.
- Hijacking de sessão de IA — interceptar ou manipular consultas enviadas ao backend de IA completamente.
Como a chave cobre todos os subdomínios, o raio de explosão não se limita a um único endpoint — toda a infraestrutura myclaw.360.cn foi teoricamente comprometida no momento em que o instalador foi lançado publicamente.
Repercussão e revogação
Após a divulgação pública, o certificado foi supostamente revogado. No entanto, devido ao comportamento de cache do OCSP (Online Certificate Status Protocol), alguns clientes podem ainda receber uma resposta de status "válido" de consultas em cache, o que significa que a revogação não é instantânea ou universal.
O timing do incidente é particularmente embaraçoso. O fundador da Qihoo 360 promoveu publicamente o Security Claw com um compromisso de que a plataforma "nunca vazaria senhas", uma promessa que o produto quebrou antes mesmo do fim do dia de lançamento. Com uma avaliação de US$ 10 bilhões e uma identidade de marca construída sobre a segurança por duas décadas, enviar uma chave privada wildcard em um arquivo zip baixável é uma falha fundamental de práticas de desenvolvimento seguro de software.
A Qihoo 360 é uma empresa de segurança que deveria ser referência em proteção, mas a exposição de uma chave privada em um instalador público de IA demonstra uma falha crítica no processo de build e distribuição de software. O caso serve como um alerta para a indústria sobre a importância de segregar credenciais de produção de artefatos de distribuição pública.