A Slow Fog revelou que a NOFX AI tem uma grave vulnerabilidade: pode levar à divulgação da API Key e da Chave privada do exchange.

Wu disse que a equipe de segurança SlowMist publicou um relatório afirmando que o sistema de negociação automática de futuros de ativos de criptografia de código aberto NOFX AI (baseado em DeepSeek/Qwen AI) apresenta sérias vulnerabilidades de segurança, que podem levar à exposição das chaves API do exchange e da chave privada. A vulnerabilidade decorre do fato de que o projeto tem o “modo administrador” ativado por padrão em várias versões e não realiza verificações de autenticação, permitindo que atacantes acessem diretamente /api/exchanges para obter informações de chave de exchanges como Binance, Hyperliquid, Aster DEX, entre outras. Embora a atualização de 5 de novembro tenha introduzido um mecanismo de verificação JWT, a chave padrão ainda pode ser explorada, e a vulnerabilidade essencial ainda não foi corrigida. SlowMist recomenda que os implementadores desliguem imediatamente o modo administrador, troquem a chave JWT e minimizem as informações retornadas pela interface, a fim de evitar riscos aos ativos.