慢霧稱NOFXAI自動交易系統曝嚴重漏洞需盡快升級

Odaily星球日報訊慢霧安全團隊近日對基於DeepSeek/Qwen 的開源自動化期貨交易系統NOFX AI 進行分析，發現多個嚴重認證漏洞。其指出，系統在預設配置下存在「零認證」模式，管理員模式被直接啟用，使得所有請求無需驗證即可通過，攻擊者可存取/api/exchanges 並取得完整API 金鑰與私鑰。

在「需授權」模式下雖加入JWT，但預設jwt_secret 依然存在，若未設定環境變數將回退為預設金鑰。此外，該模式下敏感欄位仍以原始JSON 輸出，令牌一旦被偽造或竊取，同樣會導致金鑰外洩。

慢霧表示，截至11 月中旬已識別超過千個公開部署實例使用脆弱配置，並已與幣安及OKX 安全團隊協調，完成相關憑證替換。團隊提醒所有用戶立即升級系統，尤其是在Aster 或Hyperliquid 上運行機器人的用戶應盡快檢查設定。