Hogar
Defect crítico en el nuevo sistema API expone claves no seguras al uso gratuito ilimitado
AIbase Report, 16 de abril de 2026 — El sistema ampliamente utilizado para la agregación y gestión de interfaces de grandes modelos de IA, QuantumNous/new-api (comúnmente conocido como NewAPI), popular entre las comunidades de código abierto y los administradores de sitios autogestionados, ha sido confirmado que contiene una vulnerabilidad de alto riesgo en su lógica de pago. Cuando la clave de pago de Stripe no está configurada correctamente, los atacantes pueden falsificar eventos Webhook para evitar el proceso de pago real, lo que permite recargas “sin costo” de cualquier cantidad.
El método de ataque y las estrategias de mitigación para esta vulnerabilidad han desatado amplias discusiones en foros de desarrolladores y comunidades técnicas públicas como X (anteriormente Twitter). Dada que el sistema se utiliza a menudo para operaciones comerciales o facturación basada en tokens, el descubridor ha retenido temporalmente el código completo del exploit de prueba de concepto (PoC) para prevenir su uso malicioso y posibles pérdidas financieras.
Análisis del Principio de la Vulnerabilidad
NewAPI es un sistema de gestión que se encarga del procesamiento intermedio, la facturación y las funciones de recargo para interfaces de grandes modelos como OpenAI y Claude. El núcleo de la vulnerabilidad expuesta radica en la falta de una validación rigurosa de claves vacías de Stripe dentro de la respuesta de éxito del pago (lógica de procesamiento asincrónico de Webhook).
Según el análisis del flujo de ataques que circula en las comunidades técnicas, cuando la clave webhook_secret de Stripe del lado del servidor no está configurada (es decir, se deja como una cadena vacía), se crea una brecha de confianza crítica:
Fallo en el Mecanismo de Firma: El algoritmo HMAC-SHA256 no genera un error al procesar una clave vacía. Esto permite que cualquier atacante calcule una firma falsa que coincida perfectamente con la lógica de validación del servidor para un payload personalizado.
Construcción de un Evento Malicioso: Los atacantes solo necesitan obtener o adivinar el formato del número de orden para falsificar un evento checkout.session_completed y establecer un monto total arbitrariamente alto (amount_total, cantidad de recargo) en el paquete de datos.
Crédito de Fondos sin Pago Real: Después de enviar la solicitud falsificada al punto final de Webhook del servidor, este valida la firma utilizando la clave vacía. Tras una validación exitosa, el sistema la trata incorrectamente como un pedido pagado legítimo y crédita el saldo de la cuenta del atacante.
Resultado Final: Stripe recibe $0, y no aparecen registros de transacción en el panel de control oficial de Stripe. Sin embargo, los registros del servidor muestran llamadas de Webhook normales, y el saldo de la cuenta del atacante aumenta con éxito.
Ámbito de Impacto de la Vulnerabilidad
Esta vulnerabilidad solo afecta a aquellos casos en que la clave secreta de Stripe no está configurada correctamente. Muchos administradores descuidan configurar esta clave al establecer entornos de prueba o cuando sus sitios dependen principalmente de otros métodos de pago (como WeChat o Alipay) y no utilizan el módulo de Stripe, lo que los deja extremadamente vulnerables.
Arreglo Oficial y Recomendaciones
En respuesta a este grave riesgo de seguridad, el equipo del proyecto actuó rápidamente y lanzó la última versión v0.12.10 hoy. El registro de actualizaciones indica claramente la dirección del arreglo: “Mejora en el procesamiento de pagos de Stripe para manejar mejor los eventos asincrónicos de Webhook”, abordando el punto ciego de seguridad en la verificación de respuestas a nivel fundamental.
Los expertos en seguridad recomiendan encarecidamente que todos los usuarios de NewAPI tomen las siguientes medidas:
Actualización Inmediata: Actualice su instancia a la última versión v0.12.10 o una más reciente (se recomienda descargar directamente la última versión o la compilación nocturna).
Configuración Obligatoria de la Clave: Incluso si su sitio no planea utilizar pagos por Stripe, después de la actualización, debe configurar la clave secreta de Stripe en el backend. Se recomienda usar una cadena de contraseña fuerte generada aleatoriamente o controlarla estrictamente a través de variables de entorno para eliminar la posibilidad de que sea una clave vacía.
Realice una Auditoría Automática de Facturación: Revise inmediatamente los pedidos de usuarios existentes y los registros de recargo dentro del sistema (especialmente en entornos de prueba), cotejelos con los fondos reales recibidos y verifique si hay algún recargo fraudulento de alto valor.
Mejora en la Autenticación de Pagos: Para entornos de producción, se recomienda revisar detenidamente la lógica de respuesta asincrónica para todos los canales de pago para asegurar una doble verificación tanto de la validez de la firma como de la autenticidad del estado del pedido.
Los detalles técnicos de esta vulnerabilidad son ahora públicos. Dada su relativamente baja barrera de explotación, se recomienda que todos los administradores relevantes tomen medidas inmediatas para realizar autoinspecciones y actualizaciones a fin de prevenir posibles pérdidas de activos digitales.
Artículo relacionado
El MIIT busca comentarios del público sobre 121 estándares industriales, incluido el Protocolo de Contexto para Modelos de IA
El Ministerio de Industria y Tecnologías de la Información de China ha publicado oficialmente un aviso solicitando comentarios del público sobre 121 proyectos de estandarización industrial, incluido el “Requisitos de seguridad aplicativa para el Prot
OpenAI se asocia con el Departamento de Defensa de los EE. UU.; las eliminaciones de ChatGPT aumentan un 295%.
Indignación Pública: La Alianza Militar de OpenAI Desata una Onda de DesinstalacionesRecientemente, el líder en inteligencia artificial OpenAI anunció una estrecha colaboración con el Departamento de Defensa de los Estados Unidos, integrando sus mod
OpenAI lanza la función «Sites», lo que marca el fin de la era «sin código» con sitios web basados en Word
OpenAI ha presentado Sites, una nueva función para Codex, su IA dedicada a la ingeniería de software. Actualmente en fase de prueba, solo está disponible para los suscriptores de pago de los planes Bu
Recomendaciones de temas especiales relacionados
Educación y aprendizaje
Los mejores herramientas de repetición espaciada con IA: optimiza los horarios de estudio para estudiantes de medicina y derecho
Descubra los mejores herramientas de repetición espacial de IA para 2026, seleccionadas por XIX.AI. Nuestras opciones más recomendadas y revolucionarias ayudan a estudiantes de medicina y derecho a optimizar sus horarios de estudio para lograr un mayor retención del conocimiento. Compare las opciones gratuitas con las pagas mediante pruebas reales y clasificaciones actualizadas semanalmente. Despliegue todo su potencial de aprendizaje ahora mismo.
10 herramientas
xix.ai
Creación de vídeos
Las mejores plataformas de IA para convertir texto en vídeo, destinadas a la redacción de guiones y la narración visual
Las mejores plataformas de IA para convertir texto en vídeo de 2026: las herramientas mejor valoradas para la redacción de guiones y la narración visual. Descubre soluciones potentes y revolucionarias para transformar tu texto en vídeos atractivos. Compara las opciones gratuitas con las de pago gracias a nuestras clasificaciones, que se actualizan semanalmente, y a nuestras pruebas en condiciones reales. Encuentra la plataforma perfecta para potenciar tu creatividad y productividad. Explora la selección cuidada de XIX.AI.
10 herramientas
xix.ai
chatbot
Orquestadores de Agentes Multiservidores AI: Diseño de Flujos de Trabajo Automatizados y Complejos a través del Lenguaje Natural
2026 Últimas novedades: Descubra los mejores herramientas de inteligencia artificial para diseñar flujos de trabajo automatizados complejos a través del lenguaje natural. Nuestra lista seleccionada incluye las plataformas más reconocidas y potentes para una automatización de tareas sin problemas y una gestión inteligente de procesos. Compare opciones gratuitas y pagadas con información basada en casos reales. Despliegue todo su potencial con las clasificaciones actualizadas semanalmente por expertos de XIX.AI.
10 herramientas
xix.ai
Edición de imágenes
Mejor software de reducción de ruido por IA: Elimina las imperfecciones y artefactos en fotografías nocturnas con poca luz
Descubra los mejores softwares de reducción de ruido por IA para la fotografía nocturna en condiciones de poca luz en 2026. Nuestra lista, seleccionada cuidadosamente y evaluada por expertos, compara herramientas gratuitas con aquellas pagadas, e incluye pruebas reales y clasificaciones actualizadas semanalmente. Elimine fácilmente las imperfecciones y los artefactos en sus imágenes. Despliegue todo el potencial de la IA en XIX.AI.
10 herramientas
xix.ai
chatbot
Los mejores generadores personalizados de novias con IA: diseña personalidades, aficiones e historias personales únicas
Descubre los mejores generadores personalizados de novias con IA de 2026 en XIX.AI. Explora nuestra lista seleccionada y mejor valorada para diseñar personalidades únicas, aficiones e historias de fondo detalladas. Compara las opciones gratuitas con las de pago gracias a opiniones reales. Consigue hoy mismo a tu compañera creativa perfecta.
10 herramientas
xix.ai
Productividad
Diseñadores de arquitecturas de IA: Crea arquitecturas de sistemas escalables utilizando lenguaje natural
Descubre las mejores herramientas de diseño de arquitecturas de IA de 2026 en XIX.AI. Nuestra lista, cuidadosamente seleccionada y mejor valorada, incluye soluciones potentes y revolucionarias para crear arquitecturas de sistemas escalables mediante el lenguaje natural. Compara las opciones gratuitas con las de pago con información basada en casos reales. Aprovecha tu ventaja en IA y optimiza el desarrollo hoy mismo.
10 herramientas
xix.ai
comentario (0)
0/500
AIbase Report, 16 de abril de 2026 — El sistema ampliamente utilizado para la agregación y gestión de interfaces de grandes modelos de IA, QuantumNous/new-api (comúnmente conocido como NewAPI), popular entre las comunidades de código abierto y los administradores de sitios autogestionados, ha sido confirmado que contiene una vulnerabilidad de alto riesgo en su lógica de pago. Cuando la clave de pago de Stripe no está configurada correctamente, los atacantes pueden falsificar eventos Webhook para evitar el proceso de pago real, lo que permite recargas “sin costo” de cualquier cantidad.
El método de ataque y las estrategias de mitigación para esta vulnerabilidad han desatado amplias discusiones en foros de desarrolladores y comunidades técnicas públicas como X (anteriormente Twitter). Dada que el sistema se utiliza a menudo para operaciones comerciales o facturación basada en tokens, el descubridor ha retenido temporalmente el código completo del exploit de prueba de concepto (PoC) para prevenir su uso malicioso y posibles pérdidas financieras.
Análisis del Principio de la Vulnerabilidad
NewAPI es un sistema de gestión que se encarga del procesamiento intermedio, la facturación y las funciones de recargo para interfaces de grandes modelos como OpenAI y Claude. El núcleo de la vulnerabilidad expuesta radica en la falta de una validación rigurosa de claves vacías de Stripe dentro de la respuesta de éxito del pago (lógica de procesamiento asincrónico de Webhook).
Según el análisis del flujo de ataques que circula en las comunidades técnicas, cuando la clave webhook_secret de Stripe del lado del servidor no está configurada (es decir, se deja como una cadena vacía), se crea una brecha de confianza crítica:
Fallo en el Mecanismo de Firma: El algoritmo HMAC-SHA256 no genera un error al procesar una clave vacía. Esto permite que cualquier atacante calcule una firma falsa que coincida perfectamente con la lógica de validación del servidor para un payload personalizado.
Construcción de un Evento Malicioso: Los atacantes solo necesitan obtener o adivinar el formato del número de orden para falsificar un evento checkout.session_completed y establecer un monto total arbitrariamente alto (amount_total, cantidad de recargo) en el paquete de datos.
Crédito de Fondos sin Pago Real: Después de enviar la solicitud falsificada al punto final de Webhook del servidor, este valida la firma utilizando la clave vacía. Tras una validación exitosa, el sistema la trata incorrectamente como un pedido pagado legítimo y crédita el saldo de la cuenta del atacante.
Resultado Final: Stripe recibe $0, y no aparecen registros de transacción en el panel de control oficial de Stripe. Sin embargo, los registros del servidor muestran llamadas de Webhook normales, y el saldo de la cuenta del atacante aumenta con éxito.
Ámbito de Impacto de la Vulnerabilidad
Esta vulnerabilidad solo afecta a aquellos casos en que la clave secreta de Stripe no está configurada correctamente. Muchos administradores descuidan configurar esta clave al establecer entornos de prueba o cuando sus sitios dependen principalmente de otros métodos de pago (como WeChat o Alipay) y no utilizan el módulo de Stripe, lo que los deja extremadamente vulnerables.
Arreglo Oficial y Recomendaciones
En respuesta a este grave riesgo de seguridad, el equipo del proyecto actuó rápidamente y lanzó la última versión v0.12.10 hoy. El registro de actualizaciones indica claramente la dirección del arreglo: “Mejora en el procesamiento de pagos de Stripe para manejar mejor los eventos asincrónicos de Webhook”, abordando el punto ciego de seguridad en la verificación de respuestas a nivel fundamental.
Los expertos en seguridad recomiendan encarecidamente que todos los usuarios de NewAPI tomen las siguientes medidas:
Actualización Inmediata: Actualice su instancia a la última versión v0.12.10 o una más reciente (se recomienda descargar directamente la última versión o la compilación nocturna).
Configuración Obligatoria de la Clave: Incluso si su sitio no planea utilizar pagos por Stripe, después de la actualización, debe configurar la clave secreta de Stripe en el backend. Se recomienda usar una cadena de contraseña fuerte generada aleatoriamente o controlarla estrictamente a través de variables de entorno para eliminar la posibilidad de que sea una clave vacía.
Realice una Auditoría Automática de Facturación: Revise inmediatamente los pedidos de usuarios existentes y los registros de recargo dentro del sistema (especialmente en entornos de prueba), cotejelos con los fondos reales recibidos y verifique si hay algún recargo fraudulento de alto valor.
Mejora en la Autenticación de Pagos: Para entornos de producción, se recomienda revisar detenidamente la lógica de respuesta asincrónica para todos los canales de pago para asegurar una doble verificación tanto de la validez de la firma como de la autenticidad del estado del pedido.
Los detalles técnicos de esta vulnerabilidad son ahora públicos. Dada su relativamente baja barrera de explotación, se recomienda que todos los administradores relevantes tomen medidas inmediatas para realizar autoinspecciones y actualizaciones a fin de prevenir posibles pérdidas de activos digitales.
El MIIT busca comentarios del público sobre 121 estándares industriales, incluido el Protocolo de Contexto para Modelos de IA
El Ministerio de Industria y Tecnologías de la Información de China ha publicado oficialmente un aviso solicitando comentarios del público sobre 121 proyectos de estandarización industrial, incluido el “Requisitos de seguridad aplicativa para el Prot
OpenAI se asocia con el Departamento de Defensa de los EE. UU.; las eliminaciones de ChatGPT aumentan un 295%.
Indignación Pública: La Alianza Militar de OpenAI Desata una Onda de DesinstalacionesRecientemente, el líder en inteligencia artificial OpenAI anunció una estrecha colaboración con el Departamento de Defensa de los Estados Unidos, integrando sus mod
OpenAI lanza la función «Sites», lo que marca el fin de la era «sin código» con sitios web basados en Word
OpenAI ha presentado Sites, una nueva función para Codex, su IA dedicada a la ingeniería de software. Actualmente en fase de prueba, solo está disponible para los suscriptores de pago de los planes Bu
Descubra los mejores herramientas de repetición espacial de IA para 2026, seleccionadas por XIX.AI. Nuestras opciones más recomendadas y revolucionarias ayudan a estudiantes de medicina y derecho a optimizar sus horarios de estudio para lograr un mayor retención del conocimiento. Compare las opciones gratuitas con las pagas mediante pruebas reales y clasificaciones actualizadas semanalmente. Despliegue todo su potencial de aprendizaje ahora mismo.
10 herramientas
xix.ai
Las mejores plataformas de IA para convertir texto en vídeo de 2026: las herramientas mejor valoradas para la redacción de guiones y la narración visual. Descubre soluciones potentes y revolucionarias para transformar tu texto en vídeos atractivos. Compara las opciones gratuitas con las de pago gracias a nuestras clasificaciones, que se actualizan semanalmente, y a nuestras pruebas en condiciones reales. Encuentra la plataforma perfecta para potenciar tu creatividad y productividad. Explora la selección cuidada de XIX.AI.
10 herramientas
xix.ai
2026 Últimas novedades: Descubra los mejores herramientas de inteligencia artificial para diseñar flujos de trabajo automatizados complejos a través del lenguaje natural. Nuestra lista seleccionada incluye las plataformas más reconocidas y potentes para una automatización de tareas sin problemas y una gestión inteligente de procesos. Compare opciones gratuitas y pagadas con información basada en casos reales. Despliegue todo su potencial con las clasificaciones actualizadas semanalmente por expertos de XIX.AI.
10 herramientas
xix.ai
Descubra los mejores softwares de reducción de ruido por IA para la fotografía nocturna en condiciones de poca luz en 2026. Nuestra lista, seleccionada cuidadosamente y evaluada por expertos, compara herramientas gratuitas con aquellas pagadas, e incluye pruebas reales y clasificaciones actualizadas semanalmente. Elimine fácilmente las imperfecciones y los artefactos en sus imágenes. Despliegue todo el potencial de la IA en XIX.AI.
10 herramientas
xix.ai
Descubre los mejores generadores personalizados de novias con IA de 2026 en XIX.AI. Explora nuestra lista seleccionada y mejor valorada para diseñar personalidades únicas, aficiones e historias de fondo detalladas. Compara las opciones gratuitas con las de pago gracias a opiniones reales. Consigue hoy mismo a tu compañera creativa perfecta.
10 herramientas
xix.ai
Descubre las mejores herramientas de diseño de arquitecturas de IA de 2026 en XIX.AI. Nuestra lista, cuidadosamente seleccionada y mejor valorada, incluye soluciones potentes y revolucionarias para crear arquitecturas de sistemas escalables mediante el lenguaje natural. Compara las opciones gratuitas con las de pago con información basada en casos reales. Aprovecha tu ventaja en IA y optimiza el desarrollo hoy mismo.
10 herramientas
xix.ai
