สรุปข่าว
- พบ Wildcard SSL Private Key หลุดออกมาพร้อมกับตัวติดตั้ง (Installer) ของ 360安全龙虾 (Security Claw) ผลิตภัณฑ์ AI Assistant ตัวใหม่ล่าสุดจาก Qihoo 360
- คีย์ที่หลุดออกมาสามารถใช้เพื่อดักจับข้อมูล (Man-in-the-Middle Attack) บนทุกโดเมนย่อยของบริการได้ และมีอายุการใช้งานยาวไปจนถึงเดือนเมษายน 2027
- เหตุการณ์นี้เกิดขึ้นสวนทางกับคำโฆษณาในงานเปิดตัวที่ระบุว่า “จะไม่มีวันทำรหัสผ่านหลุด” ตอกย้ำความหละหลวมในการตรวจสอบความปลอดภัยก่อนปล่อยผลิตภัณฑ์สู่สาธารณะ
แนวโน้มผลกระทบต่อราคา: Bearish
ช่องโหว่ระดับวิกฤตของยักษ์ใหญ่ไซเบอร์จีนอาจสร้างความตื่นตระหนก (FUD) ในกลุ่มนักเทรดที่กังวลเรื่องการโดนดักข้อมูลเว็บเทรด จนนำไปสู่แรงเทขาย Panic Sell เพื่อลดความเสี่ยงในระยะสั้น อย่างไรก็ตาม เหตุการณ์นี้จะเป็นตัวเร่งให้เกิดการย้ายสินทรัพย์เข้าสู่ Hardware Wallet ซึ่งช่วยลดอุปทานหมุนเวียนและส่งผลดีต่อเสถียรภาพราคาในระยะยาว
ยักษ์ใหญ่ล้มดัง! เมื่อบริษัทความปลอดภัยทำคีย์ลับหลุดเสียเอง
รายงานจากนักวิจัยด้านความปลอดภัย Lukasz Olejnik ผ่านแพลตฟอร์ม X เปิดเผยความผิดพลาดครั้งใหญ่ของ Qihoo 360 บริษัทด้านความปลอดภัยทางไซเบอร์ที่ครองตลาดใหญ่ที่สุดในจีน (เปรียบได้กับ Norton หรือ McAfee ในฝั่งตะวันตก) โดยพบว่าในตัวติดตั้งโปรแกรม AI Assistant ตัวใหม่ที่ชื่อว่า “360安全龙虾” (Security Claw) มีการฝัง SSL Private Key ไว้ภายใน ซึ่งปกติแล้วคีย์นี้ต้องถูกเก็บเป็นความลับสูงสุดที่ฝั่งเซิร์ฟเวอร์เท่านั้น
อันตรายจาก Wildcard Key: ดักข้อมูลได้ทุกโดเมนย่อย
ความน่ากลัวของคีย์ที่หลุดออกมาคือเป็นประเภท Wildcard SSL ซึ่งหมายความว่าผู้ไม่หวังดีที่มีคีย์นี้สามารถสร้างเซิร์ฟเวอร์ปลอมเพื่อสวมรอยเป็นโดเมนย่อยใดก็ได้ภายใต้บริการของ Security Claw เพื่อทำการดักฟังข้อมูลที่เข้ารหัส (Decryption) หรือขโมย Session การใช้งานของผู้ใช้ได้โดยตรงจนกว่าใบรับรองจะหมดอายุในเดือนเมษายน 2027 หากบริษัทไม่เร่งทำการเพิกถอน (Revoke) ใบรับรองดังกล่าวโดยเร็ว
คำสัญญาที่กลายเป็นตลกร้าย: “ไม่มีรหัสหลุด” แต่ “คีย์หลุด” แทน
ในงานเปิดตัวผลิตภัณฑ์ช่วงกลางเดือนมีนาคม 2026 ผู้ก่อตั้งและทีมงานของ Qihoo 360 ได้ให้คำมั่นสัญญาต่อผู้ใช้ว่าระบบ AI ตัวนี้ถูกออกแบบมาโดยเน้นความปลอดภัยสูงสุด และ “จะไม่มีทางทำให้รหัสผ่านของผู้ใช้รั่วไหล” แต่การปล่อย Private Key ออกมาพร้อมกับไฟล์ติดตั้งที่ใครก็โหลดได้ กลับกลายเป็นการเปิดประตูบ้านทิ้งไว้ให้แฮกเกอร์เข้าถึงข้อมูลส่วนตัวได้ง่ายยิ่งกว่าการเดารหัสผ่านเสียอีก
บทเรียนราคาแพงของการเร่งรีบปล่อยผลิตภัณฑ์ AI
วิกฤตครั้งนี้สะท้อนให้เห็นถึงความเร่งรีบของบริษัทยักษ์ใหญ่ในการกระโดดเข้าสู่สมรภูมิ AI จนละเลยมาตรฐานความปลอดภัยขั้นพื้นฐาน (Security Best Practices) Qihoo 360 มีประวัติความขัดแย้งเรื่องความเป็นส่วนตัวและการแฝงมัลแวร์มาตั้งแต่อดีต เหตุการณ์นี้จึงยิ่งเป็นการตอกย้ำภาพลักษณ์เชิงลบและทำให้หน่วยงานกำกับดูแลอาจต้องเข้ามาตรวจสอบมาตรฐานการจัดการข้อมูลของบริษัทอย่างเข้มงวดมากขึ้น
แหล่งข้อมูล: Lukasz Olejnik (@lukOlejnik), China Securities Journal (中国证券报)
ผู้เขียนมองว่าความผิดพลาดของ Qihoo 360 ในครั้งนี้เป็นตัวอย่างที่ชัดเจนว่า แม้แต่บริษัทที่เชี่ยวชาญด้านความปลอดภัยที่สุดก็พลาดได้เมื่อเข้าสู่ยุค AI นักวิเคราะห์เริ่มมองว่าผู้ใช้ควรหันไปใช้โซลูชัน Local-first AI หรือระบบ AI ที่ประมวลผลภายในเครื่องโดยไม่ส่งข้อมูลออกสู่ภายนอก เพื่อลดความเสี่ยงจากการจัดการคีย์ที่ผิดพลาดบนคลาวด์ ซึ่งเหตุการณ์ “Security Claw” นี้อาจเป็นจุดเปลี่ยนสำคัญที่ทำให้ผู้ใช้ในจีนเริ่มตั้งคำถามถึงความน่าเชื่อถือของซอฟต์แวร์แอนตี้ไวรัสกระแสหลัก
