火星财经消息,慢雾安全团队近日对基于 DeepSeek/Qwen 的开源自动化期货交易系统 NOFX AI 进行分析,发现多个严重认证漏洞。其指出,系统在默认配置下存在“零认证”模式,管理员模式被直接启用,使得所有请求无需验证即可通过,攻击者可访问 /api/exchanges 并获取完整 API 密钥与私钥。在“需授权”模式下虽加入 JWT,但默认 jwt_secret 依然存在,若未设置环境变量将回退为默认密钥。此外,该模式下敏感字段仍以原始 JSON 输出,令牌一旦被伪造或窃取,同样会导致密钥泄露。慢雾表示,截至目前已识别超过千个公开部署实例使用脆弱配置,并已与币安及 OKX 安全团队协调,完成相关凭证替换。团队提醒所有用户立即升级系统,尤其是在 Aster 或 Hyperliquid 上运行机器人的用户应尽快检查设置。
欢迎加入萌币圈官方社群:
Telegram 订阅群: https://t.me/btc88pool
各大交易所公告上新发布 Telegram 订阅群: https://t.me/btcjiao
当前BTC价格: $0.00 USD
领取微信红包?微信"扫一扫”下方二维码,抽现金红包
除特殊说明外,皆为萌手赚网原创资讯, 转载请注明本文出处及本文链接:http://www.heimengw.cn/info/41750.html
标签:
