家NewAPIシステムにおける重大な欠陥により、セキュリティが保たれていない鍵が無制限に無料で利用可能になっている
AIbaseレポート、2026年4月16日 —— 広く利用されているAI大規模モデルのインターフェース集約・管理システムであるQuantumNous/new-api(通称NewAPI)は、オープンソースコミュニティや自己ホストサイトの管理者の間で人気がありますが、その支払いロジックに高リスクな脆弱性があることが確認されました。Stripeの支払いキーが正しく設定されていない場合、攻撃者はWebhookイベントを偽造して実際の支払いプロセスを迂回し、任意の金額で「ゼロコスト」で再チャージすることができます。
この脆弱性に対する攻撃手法や対策は、開発者フォーラムやX(旧Twitter)などの公開技術コミュニティで広く議論されています。このシステムは商業運用やトークンベースの請求によく使用されるため、発見者は悪意ある利用や潜在的な財政的損失を防ぐために、プロトタイプ実行コード(PoC)の公開を一時的に控えています。
脆弱性の原理分析
NewAPIは、OpenAIやClaudeなどの大規模モデルインターフェースの中間処理、請求、再チャージ機能を扱う管理システムです。この脆弱性の核心は、支払い成功時のコールバック(非同期Webhook処理ロジック)内で空のStripeキーを厳格に検証していないことにあります。
技術コミュニティで流通している攻撃フロー分析によると、サーバーサイドのStripe webhook_secretが設定されていない場合(つまり空の文字列のまま)、重大な信頼性の崩壊が発生します:
署名メカニズムの失敗: HMAC-SHA256アルゴリズムは空のキーを処理してもエラーを生成しません。これにより、攻撃者はサーバーの検証ロジックに完全に一致する偽造署名を計算することができます。
悪意あるイベントの構築: 攻撃者は注文番号の形式を入手または推測するだけで、checkout.session_completedイベントを偽造し、データパケット内に任意の高額なamount_total(再チャージ金額)を設定することができます。
実際の支払いなしで資金がクレジットされる: 偽造されたリクエストをサーバーのWebhookエンドポイントに送信すると、サーバーは空のキーを使用して署名を検証します。検証に成功すると、システムはそれを正当な支払い注文と誤認し、攻撃者のアカウント残高に資金をクレジットします。
最終的な結果: Stripeは$0を受け取り、公式のStripeダッシュボードには取引記録が表示されません。しかし、サーバーログには正常なWebhookコールバックが記録され、攻撃者のアカウント残高は増加します。
脆弱性の影響範囲
この脆弱性はStripe Secret Keyが正しく設定されていない場合にのみ影響を及ぼします。多くの管理者はテスト環境を設定する際や、自分のサイトが主にWeChatやAlipayなど他の支払い方法を使用してStripeモジュールを利用していない場合に、このキーの設定を見落としてしまい、非常に脆弱になっています。
公式の修正と推奨事項
この重大なセキュリティリスクに対処するため、プロジェクトチームは迅速に行動し、本日最新版のv0.12.10をリリースしました。アップデートログには修正の方向性が明確に示されています。「非同期Webhookイベントをより適切に処理するためにStripeの支払い処理を改善した」とあり、コールバック検証のセキュリティ上の盲点を根本的なレベルで解決しています。
セキュリティ専門家はNewAPIのすべてのユーザーに対して以下の行動を強く推奨します:
直ちにアップグレードする: ご利用のインスタンスを最新版のv0.12.10またはそれ以上のバージョンにアップグレードしてください(最新リリースやナイトリービルドを直接ダウンロードすることをお勧めします)。
キー設定を必ず行う: たとえご利用のサイトでStripe支払いを使用しない場合でも、アップグレード後はバックエンドでStripe Secret Keyを必ず設定してください。ランダムに生成された強力なパスワード文字列を使用するか、環境変数を通じて厳格に管理することで、空のキーが使用される可能性を排除してください。
請求の自己監査を行う: システム内の既存のユーザー注文や再チャージ記録を直ちに確認し(特にテスト環境では)、実際に受け取った資金と照合して、不正な高額な再チャージがないかを確認してください。
支払い認証を強化する: プロダクション環境では、すべての支払いチャネルにおける非同期コールバックロジックを徹底的に検討し、署名の有効性と注文状況の真実性の両方を確認するようにしてください。
この脆弱性の技術的な詳細は現在公開されています。その悪用のハードルが比較的低いため、関連するすべての管理者には直ちに自己検査とアップグレードを行うよう強く推奨します。これにより、潜在的なデジタル資産の損失を防ぐことができます。
関連記事
MIIT、AIモデルコンテキストプロトコルを含む121の業界標準について一般の意見を求める
中国工業情報化省は、「人工知能セキュリティガバナンスモデルコンテキストプロトコルのアプリケーションセキュリティ要求」を含む121件の産業標準化プロジェクトについて、一般からの意見を求める通知を正式に発表しました。この公告は、中国がAIの基盤となる標準や安全監督枠組みを確立する取り組みにおいて重要なマイルストーンとなります。一般からの意見募集期間中は、モデルコンテキストプロトコルのアプリケーションセキュリティに焦点を当て、標準化された技術仕様を通じて、マルチモーダルインタラクション、長文処理、クロ
オープンAI、米国防総省と提携 ChatGPTのアンインストール件数が295%増加
公衆の怒り:OpenAIの軍事提携が「アンインストールブーム」を引き起こす最近、AI分野のリーダーであるOpenAIは、米国国防総省との深い協力関係を発表し、自社のAIモデルを極秘の軍事ネットワークに統合するとした。このニュースは米国内で広範なユーザーからの反発を招き、「ChatGPTボイコット」運動が盛り上がっている。市場分析会社Sensor Towerによると、2026年2月28日にOpenAIが正式にこの協力関係を発表した当日、米国市場におけるChatGPTモバイルアプリのアンインスト
OpenAIが「Sites」機能をリリース、テキストベースのウェブサイトにより「ノーコード」時代の幕を閉じる
OpenAIは、ソフトウェアエンジニアリング向けAI「Codex」の新機能「Sites」を発表しました。現在プレビュー版として提供されており、有料のBusinessおよびEnterpriseプランの加入者のみが利用可能です。この機能は、Webおよびアプリケーション開発における従来の障壁を取り除くことを目的としています。Sitesの本質は、抽象的なアイデアを実際に使えるツールへと変換するプラットフォ
関連特集おすすめ
教育と学習
最高のAIスペースドリピートツール:医学生や法律専攻の学生のための学習スケジュール最適化
2026年に最も優れたAIを活用した反復学習ツールをXIX.AIが厳選してご紹介します。私たちが推薦するこれらの画期的なツールは、医学や法律を学ぶ学生が学習計画を最適化し、知識をより効果的に定着させるのに役立ちます。無料版と有料版を実際のテスト結果や毎週更新されるランキングをもとに比較してみてください。今すぐ学習効率を高めましょう。
10 ツール
xix.ai
動画作成
脚本作成とビジュアルストーリーテリングに最適なAIテキスト・トゥ・ビデオ・プラットフォーム
2026年最新・最高のAIテキストから動画生成プラットフォーム:脚本作成やビジュアルストーリーテリングに最適なツールをご紹介。テキストを魅力的な動画に変える、画期的なソリューションをご覧ください。毎週更新されるランキングと実地テストに基づき、無料版と有料版の比較も可能です。創造性と生産性を高める、あなたにぴったりのプラットフォームを見つけましょう。XIX.AIで厳選されたラインナップをご覧ください。
10 ツール
xix.ai
チャットボット
AIマルチエージェントオーケストレーター:自然言語を通じて複雑な自動化ワークフローを設計する
2026年最新情報:自然言語を通じて複雑な自動化ワークフローを設計するための最適なAIマルチエージェントオーケストレーターを発見しましょう。当社が厳選したリストには、タスクのシームレスな自動化とインテリジェントなプロセス管理に最適な高評価の強力なプラットフォームが掲載されています。無料オプションと有料オプションを実際の使用例を交えて比較しましょう。XIX.AIが毎週更新する専門的なランキングを活用して、AIの力を最大限に引き出しましょう。
10 ツール
xix.ai
画像編集
最高のAIノイズリダクションソフトウェア:低照度の夜間撮影で発生する粒状ノイズやアーチファクトを除去する
2026年に最も優れたAIノイズリダクションソフトウェアを探そう。低照度の夜間撮影に最適なこれらのツールは、無料版と有料版を比較しており、実際のテスト結果や毎週更新されるランキングも掲載されている。粒状ノイズや不要なアーティファクトを簡単に除去できる。XIX.AIでAIの力を最大限に活用しよう。
10 ツール
xix.ai
チャットボット
おすすめのAIガールフレンド生成ツール:個性や趣味、バックストーリーを自由にデザイン
XIX.AIで、2026年最高のカスタムAIガールフレンド生成ツールを発見しましょう。ユニークな性格、趣味、そして深いバックストーリーをデザインするための、厳選された高評価リストをご覧ください。実際の利用体験に基づく情報を参考に、無料版と有料版の比較も可能です。今すぐ、あなたにぴったりのクリエイティブなパートナーを手に入れましょう。
10 ツール
xix.ai
生産性
AIアーキテクチャ設計者:自然言語を用いてスケーラブルなシステムアーキテクチャを構築する
XIX.AIで、2026年最高のAIアーキテクチャ設計ツールをご覧ください。厳選された高評価のリストには、自然言語を用いてスケーラブルなシステムアーキテクチャを構築するための、強力で革新的なソリューションが揃っています。実際の事例に基づく知見をもとに、無料版と有料版の機能を比較しましょう。今すぐAI開発の競争力を高め、開発プロセスを効率化しましょう。
10 ツール
xix.ai
コメント (0)
0/500
AIbaseレポート、2026年4月16日 —— 広く利用されているAI大規模モデルのインターフェース集約・管理システムであるQuantumNous/new-api(通称NewAPI)は、オープンソースコミュニティや自己ホストサイトの管理者の間で人気がありますが、その支払いロジックに高リスクな脆弱性があることが確認されました。Stripeの支払いキーが正しく設定されていない場合、攻撃者はWebhookイベントを偽造して実際の支払いプロセスを迂回し、任意の金額で「ゼロコスト」で再チャージすることができます。
この脆弱性に対する攻撃手法や対策は、開発者フォーラムやX(旧Twitter)などの公開技術コミュニティで広く議論されています。このシステムは商業運用やトークンベースの請求によく使用されるため、発見者は悪意ある利用や潜在的な財政的損失を防ぐために、プロトタイプ実行コード(PoC)の公開を一時的に控えています。
脆弱性の原理分析
NewAPIは、OpenAIやClaudeなどの大規模モデルインターフェースの中間処理、請求、再チャージ機能を扱う管理システムです。この脆弱性の核心は、支払い成功時のコールバック(非同期Webhook処理ロジック)内で空のStripeキーを厳格に検証していないことにあります。
技術コミュニティで流通している攻撃フロー分析によると、サーバーサイドのStripe webhook_secretが設定されていない場合(つまり空の文字列のまま)、重大な信頼性の崩壊が発生します:
署名メカニズムの失敗: HMAC-SHA256アルゴリズムは空のキーを処理してもエラーを生成しません。これにより、攻撃者はサーバーの検証ロジックに完全に一致する偽造署名を計算することができます。
悪意あるイベントの構築: 攻撃者は注文番号の形式を入手または推測するだけで、checkout.session_completedイベントを偽造し、データパケット内に任意の高額なamount_total(再チャージ金額)を設定することができます。
実際の支払いなしで資金がクレジットされる: 偽造されたリクエストをサーバーのWebhookエンドポイントに送信すると、サーバーは空のキーを使用して署名を検証します。検証に成功すると、システムはそれを正当な支払い注文と誤認し、攻撃者のアカウント残高に資金をクレジットします。
最終的な結果: Stripeは$0を受け取り、公式のStripeダッシュボードには取引記録が表示されません。しかし、サーバーログには正常なWebhookコールバックが記録され、攻撃者のアカウント残高は増加します。
脆弱性の影響範囲
この脆弱性はStripe Secret Keyが正しく設定されていない場合にのみ影響を及ぼします。多くの管理者はテスト環境を設定する際や、自分のサイトが主にWeChatやAlipayなど他の支払い方法を使用してStripeモジュールを利用していない場合に、このキーの設定を見落としてしまい、非常に脆弱になっています。
公式の修正と推奨事項
この重大なセキュリティリスクに対処するため、プロジェクトチームは迅速に行動し、本日最新版のv0.12.10をリリースしました。アップデートログには修正の方向性が明確に示されています。「非同期Webhookイベントをより適切に処理するためにStripeの支払い処理を改善した」とあり、コールバック検証のセキュリティ上の盲点を根本的なレベルで解決しています。
セキュリティ専門家はNewAPIのすべてのユーザーに対して以下の行動を強く推奨します:
直ちにアップグレードする: ご利用のインスタンスを最新版のv0.12.10またはそれ以上のバージョンにアップグレードしてください(最新リリースやナイトリービルドを直接ダウンロードすることをお勧めします)。
キー設定を必ず行う: たとえご利用のサイトでStripe支払いを使用しない場合でも、アップグレード後はバックエンドでStripe Secret Keyを必ず設定してください。ランダムに生成された強力なパスワード文字列を使用するか、環境変数を通じて厳格に管理することで、空のキーが使用される可能性を排除してください。
請求の自己監査を行う: システム内の既存のユーザー注文や再チャージ記録を直ちに確認し(特にテスト環境では)、実際に受け取った資金と照合して、不正な高額な再チャージがないかを確認してください。
支払い認証を強化する: プロダクション環境では、すべての支払いチャネルにおける非同期コールバックロジックを徹底的に検討し、署名の有効性と注文状況の真実性の両方を確認するようにしてください。
この脆弱性の技術的な詳細は現在公開されています。その悪用のハードルが比較的低いため、関連するすべての管理者には直ちに自己検査とアップグレードを行うよう強く推奨します。これにより、潜在的なデジタル資産の損失を防ぐことができます。
MIIT、AIモデルコンテキストプロトコルを含む121の業界標準について一般の意見を求める
中国工業情報化省は、「人工知能セキュリティガバナンスモデルコンテキストプロトコルのアプリケーションセキュリティ要求」を含む121件の産業標準化プロジェクトについて、一般からの意見を求める通知を正式に発表しました。この公告は、中国がAIの基盤となる標準や安全監督枠組みを確立する取り組みにおいて重要なマイルストーンとなります。一般からの意見募集期間中は、モデルコンテキストプロトコルのアプリケーションセキュリティに焦点を当て、標準化された技術仕様を通じて、マルチモーダルインタラクション、長文処理、クロ
オープンAI、米国防総省と提携 ChatGPTのアンインストール件数が295%増加
公衆の怒り:OpenAIの軍事提携が「アンインストールブーム」を引き起こす最近、AI分野のリーダーであるOpenAIは、米国国防総省との深い協力関係を発表し、自社のAIモデルを極秘の軍事ネットワークに統合するとした。このニュースは米国内で広範なユーザーからの反発を招き、「ChatGPTボイコット」運動が盛り上がっている。市場分析会社Sensor Towerによると、2026年2月28日にOpenAIが正式にこの協力関係を発表した当日、米国市場におけるChatGPTモバイルアプリのアンインスト
OpenAIが「Sites」機能をリリース、テキストベースのウェブサイトにより「ノーコード」時代の幕を閉じる
OpenAIは、ソフトウェアエンジニアリング向けAI「Codex」の新機能「Sites」を発表しました。現在プレビュー版として提供されており、有料のBusinessおよびEnterpriseプランの加入者のみが利用可能です。この機能は、Webおよびアプリケーション開発における従来の障壁を取り除くことを目的としています。Sitesの本質は、抽象的なアイデアを実際に使えるツールへと変換するプラットフォ
2026年に最も優れたAIを活用した反復学習ツールをXIX.AIが厳選してご紹介します。私たちが推薦するこれらの画期的なツールは、医学や法律を学ぶ学生が学習計画を最適化し、知識をより効果的に定着させるのに役立ちます。無料版と有料版を実際のテスト結果や毎週更新されるランキングをもとに比較してみてください。今すぐ学習効率を高めましょう。
10 ツール
xix.ai
2026年最新・最高のAIテキストから動画生成プラットフォーム:脚本作成やビジュアルストーリーテリングに最適なツールをご紹介。テキストを魅力的な動画に変える、画期的なソリューションをご覧ください。毎週更新されるランキングと実地テストに基づき、無料版と有料版の比較も可能です。創造性と生産性を高める、あなたにぴったりのプラットフォームを見つけましょう。XIX.AIで厳選されたラインナップをご覧ください。
10 ツール
xix.ai
2026年最新情報:自然言語を通じて複雑な自動化ワークフローを設計するための最適なAIマルチエージェントオーケストレーターを発見しましょう。当社が厳選したリストには、タスクのシームレスな自動化とインテリジェントなプロセス管理に最適な高評価の強力なプラットフォームが掲載されています。無料オプションと有料オプションを実際の使用例を交えて比較しましょう。XIX.AIが毎週更新する専門的なランキングを活用して、AIの力を最大限に引き出しましょう。
10 ツール
xix.ai
2026年に最も優れたAIノイズリダクションソフトウェアを探そう。低照度の夜間撮影に最適なこれらのツールは、無料版と有料版を比較しており、実際のテスト結果や毎週更新されるランキングも掲載されている。粒状ノイズや不要なアーティファクトを簡単に除去できる。XIX.AIでAIの力を最大限に活用しよう。
10 ツール
xix.ai
XIX.AIで、2026年最高のカスタムAIガールフレンド生成ツールを発見しましょう。ユニークな性格、趣味、そして深いバックストーリーをデザインするための、厳選された高評価リストをご覧ください。実際の利用体験に基づく情報を参考に、無料版と有料版の比較も可能です。今すぐ、あなたにぴったりのクリエイティブなパートナーを手に入れましょう。
10 ツール
xix.ai
XIX.AIで、2026年最高のAIアーキテクチャ設計ツールをご覧ください。厳選された高評価のリストには、自然言語を用いてスケーラブルなシステムアーキテクチャを構築するための、強力で革新的なソリューションが揃っています。実際の事例に基づく知見をもとに、無料版と有料版の機能を比較しましょう。今すぐAI開発の競争力を高め、開発プロセスを効率化しましょう。
10 ツール
xix.ai
