慢雾はNOFX AIに重大な脆弱性があることを開示しました：取引所のAPIキーと秘密鍵の漏洩を引き起こす可能性があります

吴は、慢雾安全チームが報告を発表したと述べています。オープンソース暗号資産先物自動取引システム NOFX AI（DeepSeek/Qwen AIに基づく）には深刻なセキュリティホールが存在し、取引所のAPIキーと秘密鍵が漏洩する可能性があります。この脆弱性は、プロジェクトが複数のバージョンで「管理者モード」をデフォルトで有効にしており、認証チェックが行われていないことに起因します。攻撃者は直接/api/exchangesにアクセスして、Binance、Hyperliquid、Aster DEXなどの取引所の鍵情報を取得できます。11月5日の更新ではJWT検証メカニズムが導入されましたが、デフォルトの鍵は依然として利用される可能性があり、脆弱性は実質的に修正されていません。慢雾は、デプロイヤーに対して管理者モードを直ちに無効にし、JWT鍵を変更し、インターフェースの返却情報を最小限に抑えることを推奨しています。