كشفت Slow Fog عن ثغرات خطيرة في NOFX AI: قد تؤدي إلى تسرب مفتاح API للمبادلات والمفتاح الخاص.

أفاد وو بأن فريق الأمن Slow Mist نشر تقريرًا يفيد بأن نظام التداول الآلي للعقود الآجلة للأصول الرقمية مفتوح المصدر NOFX AI (المبني على DeepSeek/Qwen AI) يحتوي على ثغرات أمنية خطيرة قد تؤدي إلى تسرب مفاتيح API الخاصة بالتبادل والمفتاح الخاص. تنبع هذه الثغرة من أن المشروع قد قام بتمكين “وضع المدير” بشكل افتراضي في عدة إصدارات دون إجراء فحص للتحقق من الهوية، مما يسمح للمهاجمين بالوصول مباشرة إلى /api/exchanges للحصول على معلومات المفاتيح الخاصة بتبادلات مثل Binance وHyperliquid وAster DEX. على الرغم من أن التحديث في 5 نوفمبر قدم آلية تحقق JWT، إلا أن المفاتيح الافتراضية لا تزال قابلة للاستغلال، ولم يتم إصلاح جوهر الثغرة. وتوصي Slow Mist جميع المكلفين بالنشر باغلاق وضع المدير على الفور، وتغيير مفاتيح JWT، وتقليل المعلومات المعادة من الواجهة، لحماية الأصول من المخاطر.