慢霧稱 NOFX AI 自動交易系統曝嚴重漏洞需盡快升級

ChainCatcher 消息，慢霧安全團隊近日對基於 DeepSeek/Qwen 的開源自動化期貨交易系統 NOFX AI 進行分析，發現多個嚴重認證漏洞。其指出，系統在默認配置下存在"零認證"模式，管理員模式被直接啟用，使得所有請求無需驗證即可通過，攻擊者可訪問 /api/exchanges 並獲取完整 API 密鑰與私鑰。在"需授權"模式下雖加入 JWT，但默認 jwt_secret 依然存在，若未設置環境變量將回退為默認密鑰。此外，該模式下敏感字段仍以原始 JSON 輸出，令牌一旦被偽造或竊取，同樣會導致密鑰泄露。

慢霧表示，截至目前已識別超過千個公開部署實例使用脆弱配置，並已與幣安及 OKX 安全團隊協調，完成相關憑證替換。團隊提醒所有用戶立即升級系統，尤其是在 Aster 或 Hyperliquid 上運行機器人的用戶應儘快檢查設置。