開源之踵：兩個月9000顆星的Nofx與其多重危機的深度分析

Key Takeaways

• Nofx 遇到了三重危機：短短兩個月內，Nofx就因安全漏洞、內部爭鬥及開源協議爭議而陷入混亂。
• 開源協議的爭議：從MIT到AGPL的轉變暴露了開源精神與商業利益間的深層次矛盾。
• 股權糾紛突顯創業團隊的法律風險意識缺失：創始人間的股權分配引發了激烈爭執，沒有明確的法律依據。
• 安全問題揭示技術能力與安全意識的脫節：Nofx的重大安全漏洞顯示知名開源項目也能成為安全重災區。
• Amber 背書文化的泛濫：這暴露了加密行業中背書文化使用不當的問題，損害了行業信任基礎。

WEEX Crypto News, 2025-12-22 16:04:42

推動事件的寫作背景

在正視這一事件背後，我們先了解此文章作者的立場。本文作者以旁觀者和分析者的身份參與報導，曾在Nofx與其他相關項目的技術及開源協作上進行過交流，但沒有與其有商業關係。本內容基於透明且可查的公開資料，如GitHub記錄以及社交媒體發言，力求客觀中立，為的是完整記錄並探索Web3開源運動中的典型問題。

序幕：AI交易項目的爆紅

2025年10月底，名為Nof1的AI自動交易項目在推特上爆紅，隨即其一些開源版本如nof0、nofx等在GitHub上急速累積超過9000顆star，成為AI交易領域的矚目焦點。然而，僅僅兩個月後，這個前途無量的明星項目卻陷入困境：

• 黑客門：區塊鏈安全公司SlowMist揭露Nofx存在嚴重安全漏洞，影響用戶交易所API密鑰和私鑰的安全，造成多家交易所如Binance和OKX需緊急介入以協助受影響用戶更換憑證。

• 內鬥門：核心成員Tinkle指控聯合創始人Zack僅參與14天就索要50%股權，而Zack則以法律途徑反擊，曝出Tinkle侵吞資產的指控。

• 開源門：Nofx指控ChainOpera AI (COAI) 違反AGPL協議，未開源而使用其代碼，而COAI辯稱在Nofx協議由MIT改為AGPL時其行為完全合規。

這些事件迫使我們深入探討：為什麼一個受歡迎的開源項目會在短時間內遭遇如此危機？是否反映出更深層的行業問題？

問題一：開源協議是否真的被違反？

MIT與AGPL的截然不同

在討論Nofx與COAI的開源協議爭論時，我們需要理解兩個協議的本質差異。MIT協議是開源界最寬鬆的協議之一，允許自由使用、修改和分發代碼。唯一要求是保留原作者的版權聲明。相對而言，AGPL v3.0是最嚴格的開源協議，要求使用者必須開源所修改的代碼，特別是當通過網絡提供服務時。

協議變更與時間爭議

Nofx開源協議的變更時間成為焦點。具體時間點決定著COAI應當適用的協議。Nofx提供了GitHub commit來證明改協議的時間，但COAI則指出時間的公開透明性存在疑問。

COAI的抄襲指控

Nofx社群發現COAI在未標註來源和未公開源碼的情況下使用了Nofx的代碼。根據AGPL協議，COAI依舊須公開修改後的代碼。然而，COAI表示當他們fork代碼時，Nofx的協議仍為MIT，無需開源。

這些爭議揭示了Web3開源生態中的一些深層次問題，包括協議變更的有效性、證據可信度、商業利益與共享精神平衡等問題。

問題二：14天的參與能值50%的股權嗎？

內部矛盾的公開化、創始團隊之間的股權分配問題頗具代表性。Zack索要50%股權，引入Amber Group作為背書的承諾是其主要腦點。而Tinkle則認為股權授予的必要先決是技術貢獻。

極端對立的證據

Zack與Tinkle之間的爭議實質上在於技術貢獻與資源引薦的價值如何評定。從Zack的角度，其確實有法律文件證明其50%股權，而Tinkle則基於其自身的開發貢獻提出異議。

Amber Group這張牌是否足夠價值交換50%股權？即使確實有過某種交流，未能轉化成投資只能保持在灰色地帶。

在重建解釋時，需要更多的內部交易細節。不過此案例也提醒著初創公司，應及早、書面化明確股權分配與重大決策。

問題三：開源項目被安全問題困擾

Nofx在發展過程中的重大安全漏洞引發行業關注，甚至推動了整體信任的崩解。這些不僅是Nofx的問題，而是整個開源運動中安全疏忽的典型代表。

安全漏洞的具體案例

Nofx的開發中，曾因為“零認證”和“默認密鑰”而讓用戶資金如同裸露於攻擊者面前。這表露出開源與安全細節的錯配，顯示出來的不是高深技術的缺失，而是基本常識的缺位。

愛開源≠安全

許多人錯誤認為開源就是安全，不料開源只是增加審核能力的一種方式，並不能完全迎擊攻擊。在開源項目中，安全審計是不可或缺的過程，對用戶尤其是金錢安全應有更高要求。

問題四：Amber等背書到底值多少？

在暴風中心，Zack利用Amber Group舉足輕重的地位向Tinkle索取股權。對於那些年輕公司背書的價值何在？Amber真正的支持值得深思，因無明確的實錘投資關係，似乎只是個“友好交流”。

背書文化：多與少之間的博弈

背書文化在加密項目中無處不在，企業名字重複出現在投資者名單上的情況亦然。這樣的行為背後，探討市場本身是否易受印象操控脆弱，明確建立解決此類模糊問題的規範是當務之急。

問題五：這場風波暴露的系統性缺陷

到頭來，整個Nofx事件反映出加密開源生態的五大系統性問題：開源精神的商業異化、創業團隊法律風險、技術與安全的錯配、背書文化的肆意和有效治理機制的缺位。這些都是當今行業急需思考並重塑規範的關鍵點。

開源運動中理想與現實的落差終究需要全行業的思考和共同努力來彌補。若不肯面對這些問題，那麼即便短期之內有驚人的成功，同樣短期內難免因根基不穩而陷入更大的危機。

FAQ

Nofx為何會遭遇三重危機？

Nofx兩個月內面臨黑客、內部鬥爭和開源協議爭議，主要源於快速開發中忽略的法律及安全標準。

開源協議變更有何爭議？

Nofx從MIT突然變更為AGPL，影響了使用其代碼的項目，造成時間點爭議使開源精神面臨挑戰。

安全意識為何會出問題？

開源項目因預設默認密鑰等簡單安全常識問題而受影響，顯示出安全審核被視作次要的錯誤。

Amber的背書值香蕉？

Zack以Amber的關係為談判條件不斷增值，結果卻發現許多熱捧其背書的公司並無切實支持。

對行業有何警醒作用？

通過Nofx事件，行業需要進一步加強對開源協議的守護、明確背書標準及促進整體法律範疇的合規性。