SlowMist รายงานว่าระบบการซื้อขายอัตโนมัติ NOFXAI พบว่ามีช่องโหว่ร้ายแรงและจำเป็นต้องได้รับการอัปเกรดโดยเร็วที่สุด

Odaily Planet Daily รายงานว่าทีมรักษาความปลอดภัยของ SlowMist ได้วิเคราะห์ NOFX AI ซึ่งเป็นระบบซื้อขายล่วงหน้าอัตโนมัติแบบโอเพนซอร์สที่พัฒนาบน DeepSeek/Qwen และพบช่องโหว่ด้านการยืนยันตัวตนที่ร้ายแรงหลายจุด พวกเขาชี้ให้เห็นว่าระบบมีโหมด "ยืนยันตัวตนเป็นศูนย์" ในการกำหนดค่าเริ่มต้น โดยเปิดใช้งานโหมดผู้ดูแลระบบโดยตรง ทำให้คำขอทั้งหมดสามารถผ่านได้โดยไม่ต้องยืนยันตัวตน ผู้โจมตีสามารถเข้าถึง /api/exchanges และขโมยคีย์ API และคีย์ส่วนตัวทั้งหมดได้

แม้ว่า JWT จะถูกเพิ่มในโหมด "Authorization Required" แต่ jwt_secret เริ่มต้นจะยังคงมีอยู่ หากไม่ได้ตั้งค่าตัวแปรสภาพแวดล้อม ตัวแปรจะกลับไปใช้คีย์เริ่มต้น นอกจากนี้ ฟิลด์ที่ละเอียดอ่อนในโหมดนี้จะยังคงแสดงผลเป็น JSON ดิบ หากโทเค็นถูกปลอมแปลงหรือขโมย ก็จะนำไปสู่การรั่วไหลของคีย์ด้วยเช่นกัน

SlowMist ระบุว่า ณ กลางเดือนพฤศจิกายนที่ผ่านมา ทางบริษัทได้ตรวจพบอินสแตนซ์ที่เผยแพร่สู่สาธารณะกว่าพันรายการโดยใช้การกำหนดค่าที่มีช่องโหว่ และได้ประสานงานกับทีมรักษาความปลอดภัยของ Binance และ OKX เพื่อเปลี่ยนข้อมูลประจำตัวที่เกี่ยวข้อง ทางทีมขอเตือนผู้ใช้ทุกคนให้อัปเกรดระบบทันที โดยเฉพาะอย่างยิ่งผู้ใช้ที่ใช้บอทบน Aster หรือ Hyperliquid ซึ่งควรตรวจสอบการตั้งค่าโดยเร็วที่สุด