慢雾はNOFX AI自動取引システムに深刻な脆弱性があるとし、早急なアップグレードを求めています。

慢雾セキュリティチームは最近、DeepSeek/Qwenに基づくオープンソースの自動化先物取引システムNOFX AIを分析し、複数の深刻な認証の脆弱性を発見しました。システムはデフォルト設定の下で「ゼロ認証」モードが存在し、管理者モードが直接有効になっているため、すべてのリクエストが検証なしで通過でき、攻撃者は/api/exchangesにアクセスして完全なAPIキーと秘密鍵を取得できます。「認証が必要」モードではJWTが追加されていますが、デフォルトのjwt_secretが依然として存在し、環境変数が設定されていない場合はデフォルトキーに戻ります。さらに、このモードでは敏感なフィールドが元のJSON形式で出力されるため、トークンが偽造または盗まれた場合、同様にキーが漏洩する可能性があります。

慢雾は、現在までに千を超える公開デプロイメントインスタンスが脆弱な設定を使用していることを特定し、バイナンスおよびOKXのセキュリティチームと調整を行い、関連する証明書の交換を完了しました。チームはすべてのユーザーに対し、特にAsterまたはHyperliquid上でロボットを運用しているユーザーは設定を早急に確認するようにシステムをアップグレードするように警告しています。