Heim
Kritischer Fehler im neuen API-System führt dazu, dass unsichere Schlüssel unbegrenzt und kostenlos genutzt werden können.
AIbase Bericht, 16. April 2026 — Das weit verbreitete System zur Aggregation und Verwaltung von Schnittstellen großer KI-Modelle QuantumNous/new-api (häufig als NewAPI bekannt), das in Open-Source-Gemeinschaften sowie bei Administratoren selbst gehosteter Websites beliebt ist, weist eine hochriskante Schwachstelle in seiner Zahlungslogik auf. Wenn die Stripe-Zahlungsschlüssel nicht ordnungsgemäß konfiguriert sind, können Angreifer Webhook-Ereignisse fälschen, um den tatsächlichen Zahlungsprozess zu umgehen und so „kostenlose“ Nachzahlungen in beliebiger Höhe durchzuführen.
Die Angriffsmethoden sowie Abwehrmaßnahmen gegen diese Schwachstelle haben auf Entwicklerforen und öffentlichen technischen Gemeinschaften wie X (früher Twitter) ausführliche Diskussionen ausgelöst. Da das System häufig für kommerzielle Zwecke oder tokenbasierte Abrechnungen eingesetzt wird, hat der Entdecker den vollständigen Proof-of-Concept-Exploitscode vorübergehend zurückgehalten, um böswillige Ausnutzungen und potenzielle finanzielle Verluste zu verhindern.
Analyse der Schwachstelle
NewAPI ist ein Verwaltungssystem, das die Zwischenverarbeitung, Abrechnung und Nachzahlungsfunktionen für Schnittstellen großer KI-Modelle wie OpenAI und Claude übernimmt. Der Kern der offengelegten Schwachstelle liegt darin, dass nicht streng genug überprüft wird, ob leere Stripe-Schlüssel im Zahlungs-Erfolgsrückruf (asynchrone Webhook-Verarbeitungslogik) verwendet werden.
Nach Analysen des Angriffsflusses in technischen Gemeinschaften führt das Fehlen der Konfiguration des serverseitigen Stripe webhook_secret (d.h. wenn es als leere Zeichenkette hinterlassen wird) zu einem kritischen Vertrauensbruch:
Fehler im Signaturmechanismus: Der HMAC-SHA256-Algorithmus generiert bei der Verarbeitung eines leeren Schlüssels keinen Fehler. Dadurch kann jeder Angreifer eine gefälschte Signatur erstellen, die perfekt mit der Server-Validierungslogik für ein benutzerdefiniertes Datenpaket übereinstimmt.
Erstellung eines bösartigen Ereignisses: Angreifer benötigen lediglich die Formatierung der Bestellnummer, um ein checkout.session_completed-Ereignis zu fälschen und einen willkürlich hohen amount_total (Nachzahlungsbetrag) im Datenpaket festzulegen.
Gelder werden ohne tatsächliche Zahlung gutgeschrieben: Nachdem der gefälschte Antrag an den Webhook-Endpunkt des Servers gesendet wurde, validiert der Server die Signatur mit dem leeren Schlüssel. Bei erfolgreicher Validierung behandelt das System dies fälschlicherweise als eine legitime bezahlte Bestellung und belastet das Konto des Angreifers.
Letztendliches Ergebnis: Stripe erhält $0, und es erscheinen keine Transaktionsaufzeichnungen im offiziellen Dashboard von Stripe. Die Server-Protokolle zeigen jedoch normale Webhook-Rückrufe, und das Konto des Angreifers wird erfolgreich aufgestockt.
Auswirkungen der Schwachstelle
Diese Schwachstelle betrifft nur Fälle, in denen der Stripe-Secret-Key nicht ordnungsgemäß konfiguriert ist. Viele Administratoren übersehen die Konfiguration dieses Schlüssels beim Einrichten von Testumgebungen oder wenn ihre Websites hauptsächlich auf andere Zahlungsmethoden wie WeChat oder Alipay angewiesen sind und das Stripe-Modul nicht verwenden, wodurch sie besonders anfällig werden.
Offizielle Behebung und Empfehlungen
Als Reaktion auf dieses ernsthafte Sicherheitsrisiko hat das Projektteam schnell reagiert und heute die neueste v0.12.10-Version veröffentlicht. Der Update-Log gibt deutlich an, in welche Richtung die Behebung geht: „Verbesserte Stripe-Zahlungsverarbeitung zur besseren Handhabung asynchrone Webhook-Ereignisse“, wodurch der Sicherheitsfehler bei der Rückrufvalidierung auf grundlegender Ebene behoben wird.
Sicherheitsexperten empfehlen allen NewAPI-Nutzern dringend, die folgenden Maßnahmen zu ergreifen:
Umgehende Aktualisierung: Aktualisieren Sie Ihre Instanz auf die neueste v0.12.10 oder eine höhere Version (es wird empfohlen, direkt die neueste Veröffentlichung oder die Nachtbuild-Version herunterzuladen).
Konfiguration des Schlüssels sicherstellen: Auch wenn Ihre Website nicht geplant ist, Stripe-Zahlungen zu verwenden, müssen Sie nach der Aktualisierung den Stripe-Secret-Key im Backend konfigurieren. Es wird empfohlen, einen zufällig generierten starken Passwortstring zu verwenden oder ihn streng über Umgebungsvariablen zu kontrollieren, um die Möglichkeit eines leeren Schlüssels auszuschließen.
Selbstprüfung der Abrechnung: Überprüfen Sie sofort alle vorhandenen Benutzerbestellungen und Nachzahlungsdaten im System (insbesondere in Testumgebungen), vergleichen Sie diese mit den tatsächlich erhaltenen Geldern und überprüfen Sie auf betrügerische hohe Nachzahlungen.
Verbesserte Zahlungserkennung: Für Produktionsumgebungen wird empfohlen, die asynchrone Rückruflogik für alle Zahlungswege gründlich zu überprüfen, um eine doppelte Überprüfung sowohl der Signaturgültigkeit als auch des Bestellstatus zu gewährleisten.
Die technischen Details dieser Schwachstelle sind nun öffentlich. Aufgrund der relativ geringen Hürden für die Ausnutzung wird empfohlen, dass alle betroffenen Administratoren umgehend Selbstprüfungen durchführen und Updates vornehmen, um potenzielle Verluste an digitalen Vermögenswerten zu verhindern.
Verwandter Artikel
OpenAI arbeitet mit dem US-Verteidigungsministerium zusammen – Die Zahl der Deinstallierungen von ChatGPT steigt um 295 Prozent
Öffentliche Empörung: OpenAI’s Militärpartnerschaft löst eine Welle von Abmeldungen ausKürzlich kündigte der führende KI-Anbieter OpenAI eine enge Partnerschaft mit dem US-Verteidigungsministerium an, bei der seine KI-Modelle in hochgeheime militäri
OpenAI führt die „Sites“-Funktion ein und läutet mit den auf Word basierenden Websites das Ende der No-Code-Ära ein
OpenAI hat „Sites“ vorgestellt, eine neue Funktion für „Codex“, seine KI für die Softwareentwicklung. Die Funktion befindet sich derzeit in der Vorschauphase und steht nur zahlenden Business- und Ente
OpenAI übernimmt das AI-Start-up für persönliche Finanzen Hiro
OpenAI hat das Finanzstart-up Hiro Finance übernommen, wie Gründer Ethan Bloch am Montag bekannt gab. OpenAI bestätigte die Übernahme gegenüber TechCrunch. Das Start-up erhielt Unterstützung von der führenden Fintech-Venture-Capital-Firma Ribbit sowi
Empfehlungen zu verwandten Spezialthemen
Videoerstellung
Die besten KI-Plattformen für die Umwandlung von Text in Video zum Verfassen von Drehbüchern und für visuelles Storytelling
Die besten KI-Plattformen für die Umwandlung von Text in Video im Jahr 2026: Erstklassige Tools für das Verfassen von Drehbüchern und visuelles Storytelling. Entdecken Sie leistungsstarke, bahnbrechende Lösungen, mit denen Sie Ihren Text in fesselnde Videos verwandeln können. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand unserer wöchentlich aktualisierten Ranglisten und Praxistests. Finden Sie die perfekte Plattform, um Ihre Kreativität und Produktivität zu steigern. Entdecken Sie die sorgfältig zusammengestellte Auswahl bei XIX.AI.
10 Tools
xix.ai
Chatbot
KI-Multi-Agent-Orchestratoren: Gestaltung komplexer automatisierter Arbeitsabläufe mithilfe natürlicher Sprache
2026 Neuestes: Entdecken Sie die besten AI-Multi-Agenten-Orchestratoren, um mithilfe natürlicher Sprache komplexe automatisierte Arbeitsabläufe zu gestalten. Unsere sorgfältig ausgewählte Liste enthält hochbewertete, leistungsstarke Plattformen für reibungslose Aufgabenerstellung und intelligente Prozessverwaltung. Vergleichen Sie kostenlose und kostenpflichtige Optionen unter Berücksichtigung praktischer Erfahrungen. Nutzen Sie die wöchentlich aktualisierten Rankings von XIX.AI, um einen Vorsprung durch künstliche Intelligenz zu erlangen.
10 Tools
xix.ai
Bildbearbeitung
Die besten AI-Softwarelösungen zur Geräuschreduzierung: Beseitigen Sie Körnchen und Artefakte in Nachtaufnahmen bei schwachem Licht.
Entdecken Sie die besten KI-basierten Softwarelösungen zur Rauschreduzierung für Nachtfotografie in schwach beleuchteten Umgebungen im Jahr 2026. Unsere hochrangig bewertete, sorgfältig ausgewählte Liste vergleicht kostenlose und kostenpflichtige Tools und enthält Ergebnisse aus realen Tests sowie wöchentlich aktualisierte Ranglisten. Entfernen Sie mühelos Unreinheiten und Artefakte aus Ihren Bildern – eröffnen Sie mit XIX.AI den Vorteil der KI-Technologie für Ihre Fotografie.
10 Tools
xix.ai
Chatbot
Die besten Generatoren für individuelle KI-Freundinnen: Entwirf einzigartige Persönlichkeiten, Hobbys und Hintergrundgeschichten
Entdecken Sie auf XIX.AI die besten Generatoren für individuelle KI-Freundinnen des Jahres 2026. Stöbern Sie in unserer sorgfältig zusammengestellten Liste der besten Angebote, um einzigartige Persönlichkeiten, Hobbys und tiefgründige Hintergrundgeschichten zu entwerfen. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Erfahrungsberichten aus der Praxis. Holen Sie sich noch heute Ihre perfekte kreative Begleiterin.
10 Tools
xix.ai
Produktivität
Entwickler von KI-Architekturen: Erstellen Sie skalierbare Systemarchitekturen mithilfe natürlicher Sprache
Entdecken Sie auf XIX.AI die besten Tools für den Entwurf von KI-Architekturen im Jahr 2026. Unsere sorgfältig zusammengestellte Liste der Top-Bewertungen umfasst leistungsstarke, bahnbrechende Lösungen für die Erstellung skalierbarer Systemarchitekturen mithilfe natürlicher Sprache. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Erfahrungsberichten aus der Praxis. Schöpfen Sie das Potenzial Ihrer KI voll aus und optimieren Sie noch heute Ihre Entwicklungsprozesse.
10 Tools
xix.ai
Comic-Erstellung
AI-Charakterprofiler: Erstellen detaillierte Hintergrundgeschichten und visuelle Referenzen für Manga-Hauptfiguren
2026: Die besten Tools für die Erstellung von AI-Charakterprofilen – Entdecken Sie hochbewertete Werkzeuge, mit denen Sie detaillierte Hintergrundgeschichten und visuelle Referenzen für Ihre Manga-Charaktere erstellen können. Unsere wöchentlich aktualisierte Liste vergleicht kostenlose und kostenpflichtige Optionen anhand tatsächlicher Tests. Finden Sie leistungsstarke Lösungen, die Ihr kreatives Arbeitsfluss optimieren und Ihnen helfen, fesselnde Charaktere zu entwickeln. Erfahren Sie mehr in den Rankings auf XIX.AI und nutzen Sie noch heute Ihren perfekten Helfer für Ihre Geschichtenerzählung.
10 Tools
xix.ai
Kommentare (0)
AIbase Bericht, 16. April 2026 — Das weit verbreitete System zur Aggregation und Verwaltung von Schnittstellen großer KI-Modelle QuantumNous/new-api (häufig als NewAPI bekannt), das in Open-Source-Gemeinschaften sowie bei Administratoren selbst gehosteter Websites beliebt ist, weist eine hochriskante Schwachstelle in seiner Zahlungslogik auf. Wenn die Stripe-Zahlungsschlüssel nicht ordnungsgemäß konfiguriert sind, können Angreifer Webhook-Ereignisse fälschen, um den tatsächlichen Zahlungsprozess zu umgehen und so „kostenlose“ Nachzahlungen in beliebiger Höhe durchzuführen.
Die Angriffsmethoden sowie Abwehrmaßnahmen gegen diese Schwachstelle haben auf Entwicklerforen und öffentlichen technischen Gemeinschaften wie X (früher Twitter) ausführliche Diskussionen ausgelöst. Da das System häufig für kommerzielle Zwecke oder tokenbasierte Abrechnungen eingesetzt wird, hat der Entdecker den vollständigen Proof-of-Concept-Exploitscode vorübergehend zurückgehalten, um böswillige Ausnutzungen und potenzielle finanzielle Verluste zu verhindern.
Analyse der Schwachstelle
NewAPI ist ein Verwaltungssystem, das die Zwischenverarbeitung, Abrechnung und Nachzahlungsfunktionen für Schnittstellen großer KI-Modelle wie OpenAI und Claude übernimmt. Der Kern der offengelegten Schwachstelle liegt darin, dass nicht streng genug überprüft wird, ob leere Stripe-Schlüssel im Zahlungs-Erfolgsrückruf (asynchrone Webhook-Verarbeitungslogik) verwendet werden.
Nach Analysen des Angriffsflusses in technischen Gemeinschaften führt das Fehlen der Konfiguration des serverseitigen Stripe webhook_secret (d.h. wenn es als leere Zeichenkette hinterlassen wird) zu einem kritischen Vertrauensbruch:
Fehler im Signaturmechanismus: Der HMAC-SHA256-Algorithmus generiert bei der Verarbeitung eines leeren Schlüssels keinen Fehler. Dadurch kann jeder Angreifer eine gefälschte Signatur erstellen, die perfekt mit der Server-Validierungslogik für ein benutzerdefiniertes Datenpaket übereinstimmt.
Erstellung eines bösartigen Ereignisses: Angreifer benötigen lediglich die Formatierung der Bestellnummer, um ein checkout.session_completed-Ereignis zu fälschen und einen willkürlich hohen amount_total (Nachzahlungsbetrag) im Datenpaket festzulegen.
Gelder werden ohne tatsächliche Zahlung gutgeschrieben: Nachdem der gefälschte Antrag an den Webhook-Endpunkt des Servers gesendet wurde, validiert der Server die Signatur mit dem leeren Schlüssel. Bei erfolgreicher Validierung behandelt das System dies fälschlicherweise als eine legitime bezahlte Bestellung und belastet das Konto des Angreifers.
Letztendliches Ergebnis: Stripe erhält $0, und es erscheinen keine Transaktionsaufzeichnungen im offiziellen Dashboard von Stripe. Die Server-Protokolle zeigen jedoch normale Webhook-Rückrufe, und das Konto des Angreifers wird erfolgreich aufgestockt.
Auswirkungen der Schwachstelle
Diese Schwachstelle betrifft nur Fälle, in denen der Stripe-Secret-Key nicht ordnungsgemäß konfiguriert ist. Viele Administratoren übersehen die Konfiguration dieses Schlüssels beim Einrichten von Testumgebungen oder wenn ihre Websites hauptsächlich auf andere Zahlungsmethoden wie WeChat oder Alipay angewiesen sind und das Stripe-Modul nicht verwenden, wodurch sie besonders anfällig werden.
Offizielle Behebung und Empfehlungen
Als Reaktion auf dieses ernsthafte Sicherheitsrisiko hat das Projektteam schnell reagiert und heute die neueste v0.12.10-Version veröffentlicht. Der Update-Log gibt deutlich an, in welche Richtung die Behebung geht: „Verbesserte Stripe-Zahlungsverarbeitung zur besseren Handhabung asynchrone Webhook-Ereignisse“, wodurch der Sicherheitsfehler bei der Rückrufvalidierung auf grundlegender Ebene behoben wird.
Sicherheitsexperten empfehlen allen NewAPI-Nutzern dringend, die folgenden Maßnahmen zu ergreifen:
Umgehende Aktualisierung: Aktualisieren Sie Ihre Instanz auf die neueste v0.12.10 oder eine höhere Version (es wird empfohlen, direkt die neueste Veröffentlichung oder die Nachtbuild-Version herunterzuladen).
Konfiguration des Schlüssels sicherstellen: Auch wenn Ihre Website nicht geplant ist, Stripe-Zahlungen zu verwenden, müssen Sie nach der Aktualisierung den Stripe-Secret-Key im Backend konfigurieren. Es wird empfohlen, einen zufällig generierten starken Passwortstring zu verwenden oder ihn streng über Umgebungsvariablen zu kontrollieren, um die Möglichkeit eines leeren Schlüssels auszuschließen.
Selbstprüfung der Abrechnung: Überprüfen Sie sofort alle vorhandenen Benutzerbestellungen und Nachzahlungsdaten im System (insbesondere in Testumgebungen), vergleichen Sie diese mit den tatsächlich erhaltenen Geldern und überprüfen Sie auf betrügerische hohe Nachzahlungen.
Verbesserte Zahlungserkennung: Für Produktionsumgebungen wird empfohlen, die asynchrone Rückruflogik für alle Zahlungswege gründlich zu überprüfen, um eine doppelte Überprüfung sowohl der Signaturgültigkeit als auch des Bestellstatus zu gewährleisten.
Die technischen Details dieser Schwachstelle sind nun öffentlich. Aufgrund der relativ geringen Hürden für die Ausnutzung wird empfohlen, dass alle betroffenen Administratoren umgehend Selbstprüfungen durchführen und Updates vornehmen, um potenzielle Verluste an digitalen Vermögenswerten zu verhindern.
OpenAI arbeitet mit dem US-Verteidigungsministerium zusammen – Die Zahl der Deinstallierungen von ChatGPT steigt um 295 Prozent
Öffentliche Empörung: OpenAI’s Militärpartnerschaft löst eine Welle von Abmeldungen ausKürzlich kündigte der führende KI-Anbieter OpenAI eine enge Partnerschaft mit dem US-Verteidigungsministerium an, bei der seine KI-Modelle in hochgeheime militäri
OpenAI führt die „Sites“-Funktion ein und läutet mit den auf Word basierenden Websites das Ende der No-Code-Ära ein
OpenAI hat „Sites“ vorgestellt, eine neue Funktion für „Codex“, seine KI für die Softwareentwicklung. Die Funktion befindet sich derzeit in der Vorschauphase und steht nur zahlenden Business- und Ente
OpenAI übernimmt das AI-Start-up für persönliche Finanzen Hiro
OpenAI hat das Finanzstart-up Hiro Finance übernommen, wie Gründer Ethan Bloch am Montag bekannt gab. OpenAI bestätigte die Übernahme gegenüber TechCrunch. Das Start-up erhielt Unterstützung von der führenden Fintech-Venture-Capital-Firma Ribbit sowi
Die besten KI-Plattformen für die Umwandlung von Text in Video im Jahr 2026: Erstklassige Tools für das Verfassen von Drehbüchern und visuelles Storytelling. Entdecken Sie leistungsstarke, bahnbrechende Lösungen, mit denen Sie Ihren Text in fesselnde Videos verwandeln können. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand unserer wöchentlich aktualisierten Ranglisten und Praxistests. Finden Sie die perfekte Plattform, um Ihre Kreativität und Produktivität zu steigern. Entdecken Sie die sorgfältig zusammengestellte Auswahl bei XIX.AI.
10 Tools
xix.ai
2026 Neuestes: Entdecken Sie die besten AI-Multi-Agenten-Orchestratoren, um mithilfe natürlicher Sprache komplexe automatisierte Arbeitsabläufe zu gestalten. Unsere sorgfältig ausgewählte Liste enthält hochbewertete, leistungsstarke Plattformen für reibungslose Aufgabenerstellung und intelligente Prozessverwaltung. Vergleichen Sie kostenlose und kostenpflichtige Optionen unter Berücksichtigung praktischer Erfahrungen. Nutzen Sie die wöchentlich aktualisierten Rankings von XIX.AI, um einen Vorsprung durch künstliche Intelligenz zu erlangen.
10 Tools
xix.ai
Entdecken Sie die besten KI-basierten Softwarelösungen zur Rauschreduzierung für Nachtfotografie in schwach beleuchteten Umgebungen im Jahr 2026. Unsere hochrangig bewertete, sorgfältig ausgewählte Liste vergleicht kostenlose und kostenpflichtige Tools und enthält Ergebnisse aus realen Tests sowie wöchentlich aktualisierte Ranglisten. Entfernen Sie mühelos Unreinheiten und Artefakte aus Ihren Bildern – eröffnen Sie mit XIX.AI den Vorteil der KI-Technologie für Ihre Fotografie.
10 Tools
xix.ai
Entdecken Sie auf XIX.AI die besten Generatoren für individuelle KI-Freundinnen des Jahres 2026. Stöbern Sie in unserer sorgfältig zusammengestellten Liste der besten Angebote, um einzigartige Persönlichkeiten, Hobbys und tiefgründige Hintergrundgeschichten zu entwerfen. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Erfahrungsberichten aus der Praxis. Holen Sie sich noch heute Ihre perfekte kreative Begleiterin.
10 Tools
xix.ai
Entdecken Sie auf XIX.AI die besten Tools für den Entwurf von KI-Architekturen im Jahr 2026. Unsere sorgfältig zusammengestellte Liste der Top-Bewertungen umfasst leistungsstarke, bahnbrechende Lösungen für die Erstellung skalierbarer Systemarchitekturen mithilfe natürlicher Sprache. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Erfahrungsberichten aus der Praxis. Schöpfen Sie das Potenzial Ihrer KI voll aus und optimieren Sie noch heute Ihre Entwicklungsprozesse.
10 Tools
xix.ai
2026: Die besten Tools für die Erstellung von AI-Charakterprofilen – Entdecken Sie hochbewertete Werkzeuge, mit denen Sie detaillierte Hintergrundgeschichten und visuelle Referenzen für Ihre Manga-Charaktere erstellen können. Unsere wöchentlich aktualisierte Liste vergleicht kostenlose und kostenpflichtige Optionen anhand tatsächlicher Tests. Finden Sie leistungsstarke Lösungen, die Ihr kreatives Arbeitsfluss optimieren und Ihnen helfen, fesselnde Charaktere zu entwickeln. Erfahren Sie mehr in den Rankings auf XIX.AI und nutzen Sie noch heute Ihren perfekten Helfer für Ihre Geschichtenerzählung.
10 Tools
xix.ai
