火星財經消息,慢霧安全團隊近日對基於 DeepSeek/Qwen 的開源自動化期貨交易系統 NOFX AI 進行分析,發現多個嚴重認證漏洞。其指出,系統在默認配置下存在“零認證”模式,管理員模式被直接啟用,使得所有請求無需驗證即可通過,攻擊者可訪問 /api/exchanges 並獲取完整 API 密鑰與私鑰。在“需授權”模式下雖加入 JWT,但默認 jwt_secret 依然存在,若未設置環境變量將回退為默認密鑰。此外,該模式下敏感字段仍以原始 JSON 輸出,令牌一旦被偽造或竊取,同樣會導致密鑰洩露。慢霧表示,截至目前已識別超過千個公開部署實例使用脆弱配置,並已與幣安及 OKX 安全團隊協調,完成相關憑證替換。團隊提醒所有用戶立即升級系統,尤其是在 Aster 或 Hyperliquid 上運行機器人的用戶應儘快檢查設置。
慢霧稱 NOFX AI 自動交易系統曝嚴重漏洞需儘快升級
來源
免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論
分享
