三方并肩：NOFX AI 交易系统漏洞守卫战

主要观点总结

本文主要介绍了NOFX AI开源加密货币期货自动交易系统的安全隐患，包括其存在的鉴权问题和默认密钥泄露风险。慢雾安全团队对此进行了分析，并提供了修复建议。

关键观点总结

关键观点1: NOFX AI存在鉴权问题

NOFX AI在不同commit版本中存在两类主要鉴权问题，一是“零鉴权”漏洞，二是虽然引入了Authorization认证头的检查，但仍然存在固定JWT密钥的问题。

关键观点2: 默认管理员模式和默认密钥泄露风险

NOFX AI的config.json.example中硬编码了admin_mode=true与默认jwt_secret，导致存在默认管理员模式和默认密钥泄露的风险。

关键观点3: 慢雾安全团队的分析和修复建议

慢雾安全团队对NOFX AI的漏洞进行了深入分析，并提供了修复建议，包括随机化JWT密钥、禁用默认管理员模式、最小化/api/exchanges响应等。

关键观点4: 影响范围和应对措施

公网存在1000+已经私有化部署并且对外开放的系统受到影响。慢雾安全团队联系了币安安全团队、OKX安全团队，共同应对安全风险，并通知用户及时更换api_key、secret_key等信息。