吴说获悉，慢雾安全团队发布报告称，开源加密货币期货自动交易系统 NOFX AI（基于 DeepSeek/Qwen AI）存在严重安全漏洞，可能导致交易所 API Key 和私钥泄露。该漏洞源于项目在多个版本中默认开启 “管理员模式” 且未进行鉴权检查，攻击者可直接访问 /api/exchanges 获取 Binance、Hyperliquid、Aster DEX 等交易所的密钥信息。尽管 11 月 5 日的更新引入了 JWT 验证机制，但默认密钥仍可被利用，漏洞实质尚未修复。慢雾建议部署者立即关闭管理员模式、更换 JWT 密钥，并最小化接口返回信息，以防资产风险。