オープンソースのアキレス腱:Nofxが2ヶ月で9,000スターを獲得、そして「ハッキングゲート」「内輪揉めゲート」「オープンソースゲート」へ

YaelYael
/2025年12月22日

キーストーン

• ハッキングゲートは安全な初期設定の重要性を示しています。

• 内輪揉めゲートは文書化されたガバナンスの必要性を強調しています。

• オープンソースゲートはAGPLの遵守が必須であることを警告しています。

私はこの一連の騒動を追ってきた観察者であり分析者です。Nofxが話題になった当初、その流れに乗って「nof1 Alpha Arena」のトレンドに触発された独立系オープンソースプロジェクト「nof0」を作り、Nofxの中心開発者であるTinkle氏やZack氏と技術的な意見交換を行いました。この視点から見えるのは、これは単なる急成長のGitHubリポジトリの話ではなく、「Crypto × AI」プロジェクトが一夜にしてスケールし、そのスピードでセキュリティ・ガバナンス・ライセンス面でもつまずく可能性のある事例研究だということです。

2025年12月22日時点で、NofxのGitHubリポジトリには約9,200のスターが付いており、10月末からわずか2ヶ月で爆発的に成長しました(セキュリティに関する報告書によると、最初期のコミットは2025年10月31日)。最新の情報は公式リポジトリでご確認ください。
GitHub: NoFxAiOS/nofx

Nofxは、AIモデルとダッシュボードをプラグイン形式で統合できる「エージェンティックな仮想通貨取引OS」として設計されており、複数の取引所に対応するトレーディング環境を構築できます。これは、Hyperliquidなどの取引所で盛り上がっている「AIトレーディングアリーナ」の一環とも言えます。その背景については、以下の資料をご覧ください。
IQ.wiki: Hyperliquid のマイルストーン

以下では、Nofxに短期間で発生した3つの火種 ―「ハッキングゲート(セキュリティ)」、「内輪揉めゲート(コミュニティ運営)」、「オープンソースゲート(ライセンス問題)」― を中心に、実務的な視点から検証します。Cryptoプロジェクトに関わる開発者やセルフホスティングに取り組む人たちにとって、重要な教訓が詰まっています。

ハッキングゲート:管理者デフォルト設定が現実の漏洩リスクに

2025年11月17日、SlowMistはNofxの脆弱性についての技術分析を公開しました。それによると、10月31日に追加されたコードにより「デフォルト管理者モード」が実装され、特定のデプロイ環境ではAPIの保護ルートが実質的に回避可能になっていたとのことです。その後の修正にもかかわらず、HardcodedなJWTシークレットや、センシティブなAPI応答により、CEX(中央集権型取引所)のAPIキーやDEX(分散型取引所)の秘密鍵が漏洩するリスクが残っていました。SlowMistは主要取引所と連携して通知と緩和対応を進めたとされています。詳細な分析はこちらから:
SlowMist分析レポート(2025年11月17日)

これはOWASPが定義するAPIセキュリティリスク、特に「Broken Function Level Authorization(機能レベル認可の不備)」と「Security Misconfiguration(設定ミス)」の典型例です。セルフホスト型のトレーディングシステムを運用する際には、以下のようなチェックリストを活用してください:
OWASP API セキュリティ Top 10(2023年版)

実践的なAPIセキュリティ対策(Nofxを使うか否かに関わらず)

  • APIキーは定期的にローテーションし、コード内にハードコーディングしない。非対称鍵の使用を推奨。
    Binance.US APIキーのベストプラクティス

  • すべてのAPIキーに対してIPアドレスのホワイトリストを設定し、読み取り専用/取引専用など、用途別に分割して影響範囲を限定
    Binance セキュリティガイド

  • ブローカー認証やOAuth形式の「Fast API」方式をサポートしている場合、それを使用してデフォルトでIP制限付きのキー発行を行う
    OKX Fast API 概要

  • デプロイ前にOWASPの2023年ガイドラインに準拠しているかを確認。権限管理、シークレット管理、「最小限の機密性」に基づくAPI応答設計は必須事項
    OWASP APIセキュリティの概要

また、Hyperliquidなどのオンチェーン先物取引所を使う場合、市場構造リスクやオラクルの挙動も考慮しながら、リスク制限やキルスイッチの設計を行ってください。
IQ.wiki: Hyperliquidのマイルストーン

内輪揉めゲート:統治構造なきコミュニティ成長のひずみ

急激な人気の高まりは、開発の方向性やクレジット、公平な評価といった問題を引き起こします。Nofxでは、ロードマップの決定権や、急速なアップデートを他のフォークや統合プロジェクトにどう伝えるのかという点で、コミュニティ内に摩擦が生じました。その様子は、GitHubのissueトラッカーや、主要開発者のSNS投稿にも現れています。

個人の正誤を問うのではなく、「どうすれば感情に依存しない意思決定ができるか」が教訓です:

  • 早期に貢献モデルを整理(例:メンテナー・レビュー担当の区別)、決定事項はチャットでなくIssueやPR上で明示
  • セキュリティ修正を機能追加より優先し、セキュリティアドバイザリーや移行ガイドを発信
  • ファンドや証券会社などの採用を見込むなら、変更履歴とセキュリティ方針そのものも製品の一部と捉えるべき

NofxのリポジトリやIssue欄は、オープンソース暗号資産ツールによく現れる「スケーリング時の混乱」の良い教材です。
GitHub: NoFxAiOS/nofx

オープンソースゲート:AGPL、帰属表示、ChainOperaとの衝突

2025年12月中旬、Nofxの開発者Tinkle氏が、ChainOpera AI Foundationが旧Nofxコードをほぼそのまま使用しUIをわずかに変更しただけで、自社ブランドを維持しながらテストネットを展開したと主張しました。これに対してNofx側は、「当プロジェクトはAGPLのもとで配布されており、コードの管理権限を放棄していない」と述べ、ネットワーク経由でコードを提供する場合のCopyleft(著作権の逆転原則)を強調しました。

詳細報道と要約:
Odailyの記事
ChainCatcherの報道
PANewsの短報

AGPLの基本要件

  • AGPLソフトウェアを改変・ネットワークで提供する場合、その全ユーザーがコードを容易に閲覧・入手できるようにし、かつ適切に帰属情報を明記すること。
    FSF: GNU AGPLv3

Crypto開発者が守るべきポイント

  • NofxなどAGPLライセンスのソフトをフォークしてサービス提供する場合、ソースコードと帰属表示は必ず公開
  • 商用追加機能などで非公開部分が増える場合は、有償ライセンス交渉、または構成の再設計が必要
  • 変更点を明確にドキュメント化し、セキュリティ改善などが上流に取り込まれる可能性に備えること

Web3の世界では、AGPLの遵守は法的責任であると同時に、信頼性の証でもあります。

急成長の理由:AI✗暗号の最前線で生まれたプロダクト・マーケット・フィット

Nofxは、自己ホスト型AIエージェントと複数の仮想通貨取引所の接続、さらに新興の先物取引所とを結びつける位置にありました。そのため、「データ → 推論 → 実行 → モニタリング」の全工程を自分でコントロールしたい開発者たちから大きく支持されたのです。READMEにもその設計思想が表れています:
Nofx README

より広義には、AI同士が実際の市場で競い合う「アリーナ型」アプローチが、nof1のAlpha Arenaに始まり、フォークや類似プロジェクトを次々と生み出しました。nof0もその一部です。「Alpha Arena」のルール設計などの中立的な解説はこちら:
Datawallet: Alpha Arena解説

セルフホスト型トレーディング環境のためのセキュリティチェックリスト

シークレットと鍵管理

  • デフォルトシークレットは禁止。初回起動時にランダム化されたキーを強制
  • CEX APIキーはSecrets Managerで安全に保管。レスポンスにはマスクやハッシュ処理を
  • 出金権限は厳しく制限し、サブアカウントを使用(例:Binance.US APIキーのベストプラクティス

認可とネットワーク対策

  • 管理者とオペレーターの役割分離
  • 「シークレット出力」系のエンドポイントには二重認証などの制御を
  • IPホワイトリストを設定し、管理画面やAPIはプライベートネットワークまたはゼロトラスト環境に限定
    OWASP API Top 10: 2023

運用リスク対策

  • アカウント単位のリスク制限、「セーフモード」、キルスイッチの設置
  • 全決定のログを安定ID付きで記録し、事後分析を可能に

ライセンスと帰属表示

  • AGPLソフトをフォークし公開運用する場合、そのソースとUI・ドキュメント上の帰属表示は必須
    FSF: AGPLv3

OneKeyと自己管理の徹底について

オープンソースの取引フレームワークは、オンチェーン秘密鍵とCEXのAPIキーという2種類の秘匿情報を扱います。これらは論理的にも物理的にも分離する必要があります。オンチェーン資産には、オープンソースファームウェアと堅牢なサプライチェーンセキュリティを備えたハードウェアウォレット(例:OneKey)が有用で、「サーバーに生鍵を持たせない」方針を守るのに役立ちます。取引所のAPIキーは、常にサブアカウント・ホワイトリスト・出金禁止など、取引所側の制御と組み合わせて管理しましょう。

最後に

  • ハッキングゲートは、「安全な初期設定」抜きで成長が進むと実害が出ることを示しました。
    SlowMist 分析

  • 内輪揉めゲートは、「軽量で文書化されたガバナンス」がコードと同等に重要であることの証左です。

  • オープンソースゲートは、2025年のAI✕Cryptoブームにおいて、AGPLの遵守が「オプションではない」ことを警告します。
    Odaily · ChainCatcher · PANews

Nofxを導入・フォークするなら、セキュリティ情報とAPI鍵の衛生管理を徹底し、アトリビューションとライセンス方針を製品の一部として扱ってください。もしnof0のように新たなOSやアリーナを構築する場合は、初日からセキュア・バイ・デフォルトのテンプレートと明確なセキュリティ方針を備えるべきです。

深掘りのための資料

※本記事は、Nofxブームの中でプロジェクト「nof0」を構築し、Tinkle氏やZack氏とオープンソース技術に関して議論した外部観察者による記録です。

OneKeyで暗号化の旅を守る

View details for OneKeyのご購入OneKeyのご購入

OneKeyのご購入

世界最先端のハードウェアウォレット。

View details for アプリをダウンロードアプリをダウンロード

アプリをダウンロード

詐欺アラート。すべてのコインをサポート。

View details for OneKey SifuOneKey Sifu

OneKey Sifu

暗号化の疑問を解消するために、一つの電話で。