Maison
Une faille critique dans le nouveau système API expose des clés non sécurisées à une utilisation gratuite et illimitée
Rapport AIbase, 16 avril 2026 — Le système largement utilisé pour l'agrégation et la gestion des interfaces de grands modèles d'intelligence artificielle, QuantumNous/new-api (communément appelé NewAPI), populaire dans les communautés open-source ainsi que chez les administrateurs de sites hébergés en interne, présente une vulnérabilité à haut risque dans sa logique de paiement. Lorsque la clé de paiement Stripe n'est pas correctement configurée, les attaquants peuvent falsifier des événements Webhook pour contourner le processus de paiement réel, permettant ainsi des recharges de montants arbitraires « à zero coût ».
La méthodologie d'attaque et les stratégies de mitigation associées à cette vulnérabilité ont suscité de nombreuses discussions sur les forums de développeurs et dans les communautés techniques publiques telles que X (anciennement Twitter). Étant donné que ce système est souvent utilisé pour des opérations commerciales ou des facturations basées sur des jetons, l'auteur de la découverte a temporairement retenu le code d'exploitation complet (PoC) afin de prévenir une exploitation malveillante et d'éventuelles pertes financières.
Analyse des principes de la vulnérabilité
NewAPI est un système de gestion qui gère les fonctions de traitement intermédiaire, de facturation et de recharges pour des interfaces de grands modèles tels que OpenAI et Claude. L'essence de la vulnérabilité révélée réside dans l'absence de validation rigoureuse des clés Stripe vides dans la logique de traitement asynchrone des Webhook après un paiement réussi.
Selon l'analyse du flux d'attaque circulant dans les communautés techniques, lorsque le webhook_secret de Stripe côté serveur n'est pas configuré (c'est-à-dire laissé vide), cela entraîne une rupture critique de confiance :
Échec du mécanisme de signature : L'algorithme HMAC-SHA256 ne génère aucun erreur lors du traitement d'une clé vide. Cela permet à tout attaquant de calculer une signature falsifiée qui correspond parfaitement à la logique de validation du serveur pour un contenu personnalisé.
Constitution d'un événement malveillant : Les attaquants ont simplement besoin d'obtenir ou de deviner le format du numéro de commande pour falsifier un événement checkout.session_completed et définir un montant total arbitrairement élevé dans le paquet de données.
Créditisation des fonds sans paiement réel : Après avoir envoyé la demande falsifiée à l'extrémité Webhook du serveur, celui-ci valide la signature en utilisant la clé vide. En cas de validation réussie, le système la traite incorrectement comme une commande payée légitime et crédite le compte de l'attaquant.
Résultat final : Stripe ne reçoit rien, et aucune trace de transaction n'apparaît dans le tableau de bord officiel de Stripe. Cependant, les journaux du serveur montrent des appels Webhook normaux, et le solde du compte de l'attaquant est augmenté avec succès.
Portée de l'impact de la vulnérabilité
Cette vulnérabilité ne concerne que les cas où la clé secrète Stripe n'est pas correctement configurée. De nombreux administrateurs négligent de configurer cette clé lors de la mise en place d'environnements de test, ou lorsque leurs sites reposent principalement sur d'autres méthodes de paiement (telles que WeChat ou Alipay) et ne utilisent pas le module Stripe, ce qui les rend particulièrement vulnérables.
Correctifs officiels et recommandations
En réponse à ce grave risque de sécurité, l'équipe du projet a agi rapidement et a publié la dernière version v0.12.10 aujourd'hui. Le journal des mises à jour indique clairement la direction des corrections : « Amélioration du traitement des paiements par Stripe pour mieux gérer les événements Webhook asynchrones », ce qui s'attaque au point aveugle de la sécurité dans la vérification des rappels à un niveau fondamental.
Les experts en sécurité recommandent vivement à tous les utilisateurs de NewAPI de prendre les mesures suivantes :
Mise à jour immédiate : Mettez à jour votre instance vers la dernière version v0.12.10 ou une version ultérieure (il est conseillé de télécharger directement la dernière version publiée ou la build nocturne).
Configuration obligatoire de la clé : Même si votre site ne prévoit pas d'utiliser les paiements par Stripe, après la mise à jour, vous devez configurer la clé secrète Stripe dans le backend. Il est recommandé d'utiliser une chaîne de mots de passe forte générée aléatoirement ou de la contrôler strictement via des variables d'environnement afin d'éliminer toute possibilité que la clé soit vide.
Conducte d'une auto-audit des facturations : Examinez immédiatement les commandes existantes des utilisateurs et les enregistrements de recharges dans le système (en particulier dans les environnements de test), comparez-les avec les fonds réellement reçus, et vérifiez l'existence de toute recharge frauduleuse de montant élevé.
Amélioration de la validation des paiements : Pour les environnements de production, il est recommandé d'examiner en détail la logique des rappels asynchrones pour tous les canaux de paiement afin de garantir une double vérification de la validité de la signature et de l'authenticité de l'état de la commande.
Les détails techniques de cette vulnérabilité sont maintenant disponibles au public. En raison du faible obstacle à son exploitation, il est recommandé à tous les administrateurs concernés de prendre des mesures immédiates pour effectuer des auto-inspections et des mises à jour afin de prévenir d'éventuelles pertes de biens numériques.
Article connexe
Le MIIT sollicite les avis du public concernant 121 normes industrielles, y compris le protocole de contexte pour les modèles d'intelligence artificielle.
Le ministère de l’Industrie et de l’Information technologique de la Chine a officiellement publié une annonce demandant aux citoyens de donner leur avis sur 121 projets de normalisation industrielle, y compris les “Exigences en matière de sécurité ap
OpenAI s’allie avec le Département de la Défense des États-Unis ; les installations de ChatGPT augmentent de 295 %.
Indignation du public : La collaboration militaire d’OpenAI déclenche une vague de désinstallationsRécemment, le leader de l’intelligence artificielle OpenAI a annoncé un partenariat étroit avec le Département de la Défense des États-Unis, intégrant
OpenAI lance la fonctionnalité « Sites », marquant la fin de l'ère du « no-code » avec des sites web créés à partir de texte
OpenAI a lancé « Sites », une nouvelle fonctionnalité pour Codex, son outil d'IA dédié à l'ingénierie logicielle. Actuellement en phase de préversion, elle n'est accessible qu'aux abonnés payants des
Recommandations de sujets spéciaux liés
Éducation et apprentissage
Meilleurs outils d'entraînement par répétition espacée avec intelligence artificielle : optimisez vos programmes d'études pour les étudiants en médecine et en droit
Découvrez les meilleurs outils d’entraînement par répétition espacée en AI pour 2026, sélectionnés par XIX.AI. Nos choix phares, révolutionnaires dans leur domaine, aident les étudiants en médecine et en droit à optimiser leurs programmes de révision afin d’améliorer leur mémorisation. Comparez les options gratuites et payantes grâce à des tests concrets et aux classements mis à jour chaque semaine. Développez rapidement un avantage dans votre apprentissage.
10 outils
xix.ai
Création vidéo
Les meilleures plateformes d'IA de conversion de texte en vidéo pour la rédaction de scénarios et la narration visuelle
Les meilleures plateformes d'IA de conversion de texte en vidéo en 2026 : les outils les mieux notés pour la rédaction de scénarios et la narration visuelle. Découvrez des solutions puissantes et révolutionnaires pour transformer votre texte en vidéos captivantes. Comparez les options gratuites et payantes grâce à nos classements mis à jour chaque semaine et à nos tests en conditions réelles. Trouvez la plateforme idéale pour booster votre créativité et votre productivité. Découvrez notre sélection soigneusement choisie sur XIX.AI.
10 outils
xix.ai
chatbot
Orchestrateurs multi-agents AI : Concevoir des flux de travail automatisés complexes à l'aide du langage naturel
Dernières informations de 2026 : Découvrez les meilleurs outils d’orchestration multi-agent basés sur l’intelligence artificielle pour concevoir des workflows automatisés complexes à l’aide du langage naturel. Notre sélection révèle des plateformes reconnues et puissantes, idéales pour une automation des tâches sans faille et une gestion intelligente des processus. Comparez les options gratuites et payantes en vous basant sur des données issues du monde réel. Optimisez vos performances grâce aux classements mis à jour chaque semaine par les experts de XIX.AI.
10 outils
xix.ai
Édition d'images
Meilleurs logiciels d'optimisation du bruit par intelligence artificielle : éliminez les grains et les artefacts des photos prises la nuit dans des conditions de faible luminosité.
Découvrez les meilleurs logiciels de réduction du bruit par intelligence artificielle en 2026 pour la photographie nocturne en faible luminosité. Notre liste sélectionnée compare les outils gratuits et payants, et inclut des tests pratiques ainsi que des classements mis à jour chaque semaine. Éliminez facilement les grains d'image et autres artefacts. Développez votre avantage grâce à l’intelligence artificielle sur XIX.AI.
10 outils
xix.ai
chatbot
Les meilleurs générateurs d'IA pour créer une petite amie sur mesure : concevez des personnalités, des loisirs et des histoires personnelles uniques
Découvrez les meilleurs générateurs personnalisés de « copines IA » de 2026 sur XIX.AI. Parcourez notre sélection triée sur le volet et très bien notée pour créer des personnalités, des passe-temps et des histoires personnelles uniques. Comparez les options gratuites et payantes grâce à des avis concrets. Trouvez dès aujourd'hui votre compagnon créatif idéal.
10 outils
xix.ai
Productivité
Concepteurs d'architectures IA : concevez des architectures système évolutives à l'aide du langage naturel
Découvrez les meilleurs outils de conception d'architectures d'IA de 2026 sur XIX.AI. Notre sélection des outils les mieux notés propose des solutions puissantes et révolutionnaires pour créer des architectures système évolutives à l'aide du langage naturel. Comparez les options gratuites et payantes grâce à des avis concrets. Tirez pleinement parti de votre avantage en matière d'IA et optimisez votre développement dès aujourd'hui.
10 outils
xix.ai
commentaires (0)
Rapport AIbase, 16 avril 2026 — Le système largement utilisé pour l'agrégation et la gestion des interfaces de grands modèles d'intelligence artificielle, QuantumNous/new-api (communément appelé NewAPI), populaire dans les communautés open-source ainsi que chez les administrateurs de sites hébergés en interne, présente une vulnérabilité à haut risque dans sa logique de paiement. Lorsque la clé de paiement Stripe n'est pas correctement configurée, les attaquants peuvent falsifier des événements Webhook pour contourner le processus de paiement réel, permettant ainsi des recharges de montants arbitraires « à zero coût ».
La méthodologie d'attaque et les stratégies de mitigation associées à cette vulnérabilité ont suscité de nombreuses discussions sur les forums de développeurs et dans les communautés techniques publiques telles que X (anciennement Twitter). Étant donné que ce système est souvent utilisé pour des opérations commerciales ou des facturations basées sur des jetons, l'auteur de la découverte a temporairement retenu le code d'exploitation complet (PoC) afin de prévenir une exploitation malveillante et d'éventuelles pertes financières.
Analyse des principes de la vulnérabilité
NewAPI est un système de gestion qui gère les fonctions de traitement intermédiaire, de facturation et de recharges pour des interfaces de grands modèles tels que OpenAI et Claude. L'essence de la vulnérabilité révélée réside dans l'absence de validation rigoureuse des clés Stripe vides dans la logique de traitement asynchrone des Webhook après un paiement réussi.
Selon l'analyse du flux d'attaque circulant dans les communautés techniques, lorsque le webhook_secret de Stripe côté serveur n'est pas configuré (c'est-à-dire laissé vide), cela entraîne une rupture critique de confiance :
Échec du mécanisme de signature : L'algorithme HMAC-SHA256 ne génère aucun erreur lors du traitement d'une clé vide. Cela permet à tout attaquant de calculer une signature falsifiée qui correspond parfaitement à la logique de validation du serveur pour un contenu personnalisé.
Constitution d'un événement malveillant : Les attaquants ont simplement besoin d'obtenir ou de deviner le format du numéro de commande pour falsifier un événement checkout.session_completed et définir un montant total arbitrairement élevé dans le paquet de données.
Créditisation des fonds sans paiement réel : Après avoir envoyé la demande falsifiée à l'extrémité Webhook du serveur, celui-ci valide la signature en utilisant la clé vide. En cas de validation réussie, le système la traite incorrectement comme une commande payée légitime et crédite le compte de l'attaquant.
Résultat final : Stripe ne reçoit rien, et aucune trace de transaction n'apparaît dans le tableau de bord officiel de Stripe. Cependant, les journaux du serveur montrent des appels Webhook normaux, et le solde du compte de l'attaquant est augmenté avec succès.
Portée de l'impact de la vulnérabilité
Cette vulnérabilité ne concerne que les cas où la clé secrète Stripe n'est pas correctement configurée. De nombreux administrateurs négligent de configurer cette clé lors de la mise en place d'environnements de test, ou lorsque leurs sites reposent principalement sur d'autres méthodes de paiement (telles que WeChat ou Alipay) et ne utilisent pas le module Stripe, ce qui les rend particulièrement vulnérables.
Correctifs officiels et recommandations
En réponse à ce grave risque de sécurité, l'équipe du projet a agi rapidement et a publié la dernière version v0.12.10 aujourd'hui. Le journal des mises à jour indique clairement la direction des corrections : « Amélioration du traitement des paiements par Stripe pour mieux gérer les événements Webhook asynchrones », ce qui s'attaque au point aveugle de la sécurité dans la vérification des rappels à un niveau fondamental.
Les experts en sécurité recommandent vivement à tous les utilisateurs de NewAPI de prendre les mesures suivantes :
Mise à jour immédiate : Mettez à jour votre instance vers la dernière version v0.12.10 ou une version ultérieure (il est conseillé de télécharger directement la dernière version publiée ou la build nocturne).
Configuration obligatoire de la clé : Même si votre site ne prévoit pas d'utiliser les paiements par Stripe, après la mise à jour, vous devez configurer la clé secrète Stripe dans le backend. Il est recommandé d'utiliser une chaîne de mots de passe forte générée aléatoirement ou de la contrôler strictement via des variables d'environnement afin d'éliminer toute possibilité que la clé soit vide.
Conducte d'une auto-audit des facturations : Examinez immédiatement les commandes existantes des utilisateurs et les enregistrements de recharges dans le système (en particulier dans les environnements de test), comparez-les avec les fonds réellement reçus, et vérifiez l'existence de toute recharge frauduleuse de montant élevé.
Amélioration de la validation des paiements : Pour les environnements de production, il est recommandé d'examiner en détail la logique des rappels asynchrones pour tous les canaux de paiement afin de garantir une double vérification de la validité de la signature et de l'authenticité de l'état de la commande.
Les détails techniques de cette vulnérabilité sont maintenant disponibles au public. En raison du faible obstacle à son exploitation, il est recommandé à tous les administrateurs concernés de prendre des mesures immédiates pour effectuer des auto-inspections et des mises à jour afin de prévenir d'éventuelles pertes de biens numériques.
Le MIIT sollicite les avis du public concernant 121 normes industrielles, y compris le protocole de contexte pour les modèles d'intelligence artificielle.
Le ministère de l’Industrie et de l’Information technologique de la Chine a officiellement publié une annonce demandant aux citoyens de donner leur avis sur 121 projets de normalisation industrielle, y compris les “Exigences en matière de sécurité ap
OpenAI s’allie avec le Département de la Défense des États-Unis ; les installations de ChatGPT augmentent de 295 %.
Indignation du public : La collaboration militaire d’OpenAI déclenche une vague de désinstallationsRécemment, le leader de l’intelligence artificielle OpenAI a annoncé un partenariat étroit avec le Département de la Défense des États-Unis, intégrant
OpenAI lance la fonctionnalité « Sites », marquant la fin de l'ère du « no-code » avec des sites web créés à partir de texte
OpenAI a lancé « Sites », une nouvelle fonctionnalité pour Codex, son outil d'IA dédié à l'ingénierie logicielle. Actuellement en phase de préversion, elle n'est accessible qu'aux abonnés payants des
Découvrez les meilleurs outils d’entraînement par répétition espacée en AI pour 2026, sélectionnés par XIX.AI. Nos choix phares, révolutionnaires dans leur domaine, aident les étudiants en médecine et en droit à optimiser leurs programmes de révision afin d’améliorer leur mémorisation. Comparez les options gratuites et payantes grâce à des tests concrets et aux classements mis à jour chaque semaine. Développez rapidement un avantage dans votre apprentissage.
10 outils
xix.ai
Les meilleures plateformes d'IA de conversion de texte en vidéo en 2026 : les outils les mieux notés pour la rédaction de scénarios et la narration visuelle. Découvrez des solutions puissantes et révolutionnaires pour transformer votre texte en vidéos captivantes. Comparez les options gratuites et payantes grâce à nos classements mis à jour chaque semaine et à nos tests en conditions réelles. Trouvez la plateforme idéale pour booster votre créativité et votre productivité. Découvrez notre sélection soigneusement choisie sur XIX.AI.
10 outils
xix.ai
Dernières informations de 2026 : Découvrez les meilleurs outils d’orchestration multi-agent basés sur l’intelligence artificielle pour concevoir des workflows automatisés complexes à l’aide du langage naturel. Notre sélection révèle des plateformes reconnues et puissantes, idéales pour une automation des tâches sans faille et une gestion intelligente des processus. Comparez les options gratuites et payantes en vous basant sur des données issues du monde réel. Optimisez vos performances grâce aux classements mis à jour chaque semaine par les experts de XIX.AI.
10 outils
xix.ai
Découvrez les meilleurs logiciels de réduction du bruit par intelligence artificielle en 2026 pour la photographie nocturne en faible luminosité. Notre liste sélectionnée compare les outils gratuits et payants, et inclut des tests pratiques ainsi que des classements mis à jour chaque semaine. Éliminez facilement les grains d'image et autres artefacts. Développez votre avantage grâce à l’intelligence artificielle sur XIX.AI.
10 outils
xix.ai
Découvrez les meilleurs générateurs personnalisés de « copines IA » de 2026 sur XIX.AI. Parcourez notre sélection triée sur le volet et très bien notée pour créer des personnalités, des passe-temps et des histoires personnelles uniques. Comparez les options gratuites et payantes grâce à des avis concrets. Trouvez dès aujourd'hui votre compagnon créatif idéal.
10 outils
xix.ai
Découvrez les meilleurs outils de conception d'architectures d'IA de 2026 sur XIX.AI. Notre sélection des outils les mieux notés propose des solutions puissantes et révolutionnaires pour créer des architectures système évolutives à l'aide du langage naturel. Comparez les options gratuites et payantes grâce à des avis concrets. Tirez pleinement parti de votre avantage en matière d'IA et optimisez votre développement dès aujourd'hui.
10 outils
xix.ai
