慢雾称 NOFX AI 自动交易系统曝严重漏洞需尽快升级

ChainCatcher 消息，慢雾安全团队近日对基于 DeepSeek/Qwen 的开源自动化期货交易系统 NOFX AI 进行分析，发现多个严重认证漏洞。其指出，系统在默认配置下存在“零认证”模式，管理员模式被直接启用，使得所有请求无需验证即可通过，攻击者可访问 /api/exchanges 并获取完整 API 密钥与私钥。在“需授权”模式下虽加入 JWT，但默认 jwt_secret 依然存在，若未设置环境变量将回退为默认密钥。此外，该模式下敏感字段仍以原始 JSON 输出，令牌一旦被伪造或窃取，同样会导致密钥泄露。

慢雾表示，截至目前已识别超过千个公开部署实例使用脆弱配置，并已与币安及 OKX 安全团队协调，完成相关凭证替换。团队提醒所有用户立即升级系统，尤其是在 Aster 或 Hyperliquid 上运行机器人的用户应尽快检查设置。