吳說獲悉,慢霧安全團隊發布報告稱,開源加密貨幣期貨自動交易系統 NOFX AI(基於 DeepSeek/Qwen AI)存在嚴重安全漏洞,可能導致交易所 API Key 和私鑰泄露。該漏洞源於項目在多個版本中默認開啓 “管理員模式” 且未進行鑑權檢查,攻擊者可直接訪問 /api/exchanges 獲取 Binance、Hyperliquid、Aster DEX 等交易所的密鑰信息。盡管 11 月 5 日的更新引入了 JWT 驗證機制,但默認密鑰仍可被利用,漏洞實質尚未修復。慢霧建議部署者立即關閉管理員模式、更換 JWT 密鑰,並最小化接口返回信息,以防資產風險。
