LarFalha Crítica no Sistema NewAPI Expõe Chaves Inseguras para Uso Gratuito Ilimitado
AIbase Relatório, 16 de abril de 2026 — O sistema amplamente utilizado para agregação e gerenciamento de interfaces de grandes modelos de IA, QuantumNous/new-api (comumente conhecido como NewAPI), popular entre as comunidades de código aberto e administradores de sites autônomos, foi confirmado como contendo uma vulnerabilidade de alto risco em sua lógica de pagamento. Quando a chave de pagamento do Stripe não é configurada corretamente, os atacantes podem forjar eventos Webhook para contornar o processo de pagamento real, permitindo recargas “sem custo” de qualquer valor.
O método de ataque e as estratégias de mitigação para esta vulnerabilidade provocaram extensas discussões em fóruns de desenvolvedores e comunidades técnicas públicas como o X (anteriormente Twitter). Considerando que o sistema é frequentemente usado para operações comerciais ou cobranças baseadas em tokens, o descobridor reteve temporariamente o código completo do exploit de conceito (PoC) para evitar exploração maliciosa e potenciais perdas financeiras.
Análise dos Princípios da Vulnerabilidade
NewAPI é um sistema de gerenciamento que lida com funções intermediárias de processamento, cobrança e recarga para interfaces de grandes modelos como OpenAI e Claude. A essência da vulnerabilidade exposta reside em a falta de validação rigorosa de chaves vazias do Stripe dentro da lógica de processamento assíncrono de Webhook após o pagamento.
Com base na análise do fluxo de ataque que circula nas comunidades técnicas, quando a chave webhook_secret do Stripe no lado do servidor não é configurada (ou seja, deixada como uma string vazia), isso cria uma falha crítica de confiança:
Falha no Mecanismo de Assinatura: O algoritmo HMAC-SHA256 não gera um erro ao processar uma chave vazia. Isso permite que qualquer atacante calcule uma assinatura falsa que corresponda perfeitamente à lógica de validação do servidor para um payload personalizado.
Construção de um Evento Malicioso: Os atacantes só precisam obter ou adivinhar o formato do número de ordem para forjar um evento checkout.session_completed e definir um valor total arbitrariamente alto (amount_total, valor da recarga) no pacote de dados.
Créditos Creditados Sem Pagamento Real: Após enviar o pedido falso para o ponto final de Webhook do servidor, o servidor valida a assinatura usando a chave vazia. Após a validação bem-sucedida, o sistema trata-o incorretamente como uma ordem paga legítima e crédita o saldo da conta do atacante.
Resultado Final: O Stripe recebe $0, e nenhum registro de transação aparece no painel oficial do Stripe. No entanto, os registros do servidor mostram callbacks de Webhook normais, e o saldo da conta do atacante é aumentado com sucesso.
Escopo do Impacto da Vulnerabilidade
Esta vulnerabilidade afeta apenas instâncias em que a chave secreta do Stripe não foi configurada corretamente. Muitos administradores negligenciam a configuração desta chave ao criar ambientes de teste ou quando seus sites dependem principalmente de outros métodos de pagamento (como WeChat ou Alipay) e não usam o módulo do Stripe, deixando-os altamente vulneráveis.
Correções Oficiais e Recomendações
Em resposta a este sério risco de segurança, a equipe do projeto agiu rapidamente e lançou a versão mais recente v0.12.10 hoje. O log de atualização indica claramente a direção da correção: “Melhorias no processamento de pagamentos pelo Stripe para lidar melhor com eventos assíncronos de Webhook”, abordando o ponto cego de segurança na verificação de callback em nível fundamental.
Especialistas em segurança recomendam fortemente que todos os usuários do NewAPI tomem as seguintes ações:
Atualize Imediatamente: Atualize sua instância para a versão mais recente v0.12.10 ou uma versão mais alta (recomenda-se baixar diretamente a versão mais recente ou a build noturna).
Configure Corretamente a Chave: Mesmo que seu site não planeje usar pagamentos pelo Stripe, após a atualização, você deve configurar a chave secreta do Stripe no backend. Recomenda-se usar uma string de senha forte gerada aleatoriamente ou controlá-la estritamente por meio de variáveis de ambiente para eliminar a possibilidade de uma chave vazia.
Realize uma Autoavaliação de Cobranças: Revise imediatamente os pedidos existentes dos usuários e os registros de recarga no sistema (especialmente em ambientes de teste), faça referência cruzada com os fundos reais recebidos e verifique se há quaisquer recargas fraudulentas de alto valor.
Melhore a Autenticação de Pagamentos: Para ambientes de produção, recomenda-se revisar cuidadosamente a lógica de callback assíncrono para todos os canais de pagamento para garantir a verificação dupla da validade da assinatura e da autenticidade do status da ordem.
Os detalhes técnicos desta vulnerabilidade são agora públicos. Devido à sua barreira relativamente baixa para exploração, recomenda-se que todos os administradores relevantes tomem medidas imediatas para realizar autoinspeções e atualizações a fim de prevenir potenciais perdas de ativos digitais.
Artigo relacionado
MIIT Solicita Opiniões Públicas sobre 121 Padrões Industriais, Incluindo o Protocolo de Contexto para Modelos de IA
O Ministério da Indústria e Tecnologia da Informação da China lançou oficialmente um comunicado solicitando feedback público sobre 121 projetos de padronização industrial, incluindo o “Requisitos de Segurança Aplicacional para o Protocolo de Contexto
A OpenAI se alia ao Departamento de Defesa dos EUA; as instalações do ChatGPT aumentam em 295%.
Indignação Pública: A Parceria Militar da OpenAI Provoca uma “Onda de Desinstalações”Recentemente, a líder em tecnologia de IA, OpenAI, anunciou uma parceria profunda com o Departamento de Defesa dos EUA, integrando seus modelos de IA em redes milit
A OpenAI lança o recurso "Sites", marcando o fim da era "no-code" com sites criados a partir de texto
A OpenAI lançou o Sites, um novo recurso para o Codex, sua IA para engenharia de software. Atualmente em fase de pré-lançamento, ele está disponível apenas para assinantes pagantes dos planos Business
Recomendações de tópicos especiais relacionados
Educação e Aprendizagem
Melhores ferramentas de repetição espaçada com IA: otimize seus horários de estudo para estudantes de medicina e direito
Descubra os melhores ferramentas de repetição espaçada em AI de 2026, selecionadas por XIX.AI. Nossas escolhas mais recomendadas e revolucionárias ajudam estudantes de medicina e direito a otimizar seus horários de estudo para uma melhor retenção do conhecimento. Compare opções gratuitas e pagas com testes reais e rankings atualizados semanalmente. Desfrute agora de uma vantagem competitiva no aprendizado.
10 ferramentas
xix.ai
Criação de vídeo
As melhores plataformas de IA para conversão de texto em vídeo para redação de roteiros e narrativa visual
As melhores plataformas de IA para conversão de texto em vídeo de 2026: as ferramentas mais bem avaliadas para redação de roteiros e narrativa visual. Descubra soluções poderosas e revolucionárias para transformar seu texto em vídeos envolventes. Compare opções gratuitas e pagas com nossos rankings atualizados semanalmente e testes práticos. Encontre a plataforma perfeita para impulsionar sua criatividade e produtividade. Explore a seleção especial no XIX.AI.
10 ferramentas
xix.ai
chatbot
Orquestradores de Múltiplos Agentes IA: Projeto de Fluxos de Trabalho Automatizados Complexos através do Linguagem Natural
2026 Mais recente: Descubra os melhores orquestradores multi-agente de IA para projetar fluxos de trabalho automatizados complexos através do uso da linguagem natural. Nossa lista selecionada apresenta plataformas poderosas e altamente avaliadas para uma automação de tarefas sem falhas e um gerenciamento inteligente de processos. Compare opções gratuitas e pagas com informações reais do mundo real. Desfrute de uma vantagem competitiva com as classificações atualizadas semanalmente por especialistas da XIX.AI.
10 ferramentas
xix.ai
Edição de imagem
Melhores softwares de redução de ruído por IA: Remova granulação e artefatos em fotografias noturnas com baixa luz
Descubra os melhores softwares de redução de ruído por IA de 2026 para fotografias noturnas em baixas condições de luz. Nossa lista selecionada e avaliada compara ferramentas gratuitas e pagas, apresentando testes reais e classificações atualizadas semanalmente. Remova facilmente granulação e distorções nas imagens. Desfrute das vantagens da inteligência artificial em XIX.AI.
10 ferramentas
xix.ai
chatbot
Os melhores geradores personalizados de namoradas virtuais com IA: crie personalidades, hobbies e histórias de vida exclusivas
Descubra os melhores geradores personalizados de namoradas com IA de 2026 no XIX.AI. Explore nossa lista selecionada e com as melhores avaliações para criar personalidades únicas, hobbies e histórias de fundo detalhadas. Compare as opções gratuitas com as pagas com informações reais. Encontre hoje mesmo sua companheira criativa perfeita.
10 ferramentas
xix.ai
Produtividade
Projetistas de arquitetura de IA: criem arquiteturas de sistemas escaláveis usando linguagem natural
Descubra as melhores ferramentas de projeto de arquitetura de IA de 2026 no XIX.AI. Nossa lista selecionada e com as melhores avaliações apresenta soluções poderosas e revolucionárias para criar arquiteturas de sistemas escaláveis usando linguagem natural. Compare opções gratuitas e pagas com informações práticas. Aproveite ao máximo sua vantagem em IA e otimize o desenvolvimento hoje mesmo.
10 ferramentas
xix.ai
Comentários (0)
AIbase Relatório, 16 de abril de 2026 — O sistema amplamente utilizado para agregação e gerenciamento de interfaces de grandes modelos de IA, QuantumNous/new-api (comumente conhecido como NewAPI), popular entre as comunidades de código aberto e administradores de sites autônomos, foi confirmado como contendo uma vulnerabilidade de alto risco em sua lógica de pagamento. Quando a chave de pagamento do Stripe não é configurada corretamente, os atacantes podem forjar eventos Webhook para contornar o processo de pagamento real, permitindo recargas “sem custo” de qualquer valor.
O método de ataque e as estratégias de mitigação para esta vulnerabilidade provocaram extensas discussões em fóruns de desenvolvedores e comunidades técnicas públicas como o X (anteriormente Twitter). Considerando que o sistema é frequentemente usado para operações comerciais ou cobranças baseadas em tokens, o descobridor reteve temporariamente o código completo do exploit de conceito (PoC) para evitar exploração maliciosa e potenciais perdas financeiras.
Análise dos Princípios da Vulnerabilidade
NewAPI é um sistema de gerenciamento que lida com funções intermediárias de processamento, cobrança e recarga para interfaces de grandes modelos como OpenAI e Claude. A essência da vulnerabilidade exposta reside em a falta de validação rigorosa de chaves vazias do Stripe dentro da lógica de processamento assíncrono de Webhook após o pagamento.
Com base na análise do fluxo de ataque que circula nas comunidades técnicas, quando a chave webhook_secret do Stripe no lado do servidor não é configurada (ou seja, deixada como uma string vazia), isso cria uma falha crítica de confiança:
Falha no Mecanismo de Assinatura: O algoritmo HMAC-SHA256 não gera um erro ao processar uma chave vazia. Isso permite que qualquer atacante calcule uma assinatura falsa que corresponda perfeitamente à lógica de validação do servidor para um payload personalizado.
Construção de um Evento Malicioso: Os atacantes só precisam obter ou adivinhar o formato do número de ordem para forjar um evento checkout.session_completed e definir um valor total arbitrariamente alto (amount_total, valor da recarga) no pacote de dados.
Créditos Creditados Sem Pagamento Real: Após enviar o pedido falso para o ponto final de Webhook do servidor, o servidor valida a assinatura usando a chave vazia. Após a validação bem-sucedida, o sistema trata-o incorretamente como uma ordem paga legítima e crédita o saldo da conta do atacante.
Resultado Final: O Stripe recebe $0, e nenhum registro de transação aparece no painel oficial do Stripe. No entanto, os registros do servidor mostram callbacks de Webhook normais, e o saldo da conta do atacante é aumentado com sucesso.
Escopo do Impacto da Vulnerabilidade
Esta vulnerabilidade afeta apenas instâncias em que a chave secreta do Stripe não foi configurada corretamente. Muitos administradores negligenciam a configuração desta chave ao criar ambientes de teste ou quando seus sites dependem principalmente de outros métodos de pagamento (como WeChat ou Alipay) e não usam o módulo do Stripe, deixando-os altamente vulneráveis.
Correções Oficiais e Recomendações
Em resposta a este sério risco de segurança, a equipe do projeto agiu rapidamente e lançou a versão mais recente v0.12.10 hoje. O log de atualização indica claramente a direção da correção: “Melhorias no processamento de pagamentos pelo Stripe para lidar melhor com eventos assíncronos de Webhook”, abordando o ponto cego de segurança na verificação de callback em nível fundamental.
Especialistas em segurança recomendam fortemente que todos os usuários do NewAPI tomem as seguintes ações:
Atualize Imediatamente: Atualize sua instância para a versão mais recente v0.12.10 ou uma versão mais alta (recomenda-se baixar diretamente a versão mais recente ou a build noturna).
Configure Corretamente a Chave: Mesmo que seu site não planeje usar pagamentos pelo Stripe, após a atualização, você deve configurar a chave secreta do Stripe no backend. Recomenda-se usar uma string de senha forte gerada aleatoriamente ou controlá-la estritamente por meio de variáveis de ambiente para eliminar a possibilidade de uma chave vazia.
Realize uma Autoavaliação de Cobranças: Revise imediatamente os pedidos existentes dos usuários e os registros de recarga no sistema (especialmente em ambientes de teste), faça referência cruzada com os fundos reais recebidos e verifique se há quaisquer recargas fraudulentas de alto valor.
Melhore a Autenticação de Pagamentos: Para ambientes de produção, recomenda-se revisar cuidadosamente a lógica de callback assíncrono para todos os canais de pagamento para garantir a verificação dupla da validade da assinatura e da autenticidade do status da ordem.
Os detalhes técnicos desta vulnerabilidade são agora públicos. Devido à sua barreira relativamente baixa para exploração, recomenda-se que todos os administradores relevantes tomem medidas imediatas para realizar autoinspeções e atualizações a fim de prevenir potenciais perdas de ativos digitais.
MIIT Solicita Opiniões Públicas sobre 121 Padrões Industriais, Incluindo o Protocolo de Contexto para Modelos de IA
O Ministério da Indústria e Tecnologia da Informação da China lançou oficialmente um comunicado solicitando feedback público sobre 121 projetos de padronização industrial, incluindo o “Requisitos de Segurança Aplicacional para o Protocolo de Contexto
A OpenAI se alia ao Departamento de Defesa dos EUA; as instalações do ChatGPT aumentam em 295%.
Indignação Pública: A Parceria Militar da OpenAI Provoca uma “Onda de Desinstalações”Recentemente, a líder em tecnologia de IA, OpenAI, anunciou uma parceria profunda com o Departamento de Defesa dos EUA, integrando seus modelos de IA em redes milit
A OpenAI lança o recurso "Sites", marcando o fim da era "no-code" com sites criados a partir de texto
A OpenAI lançou o Sites, um novo recurso para o Codex, sua IA para engenharia de software. Atualmente em fase de pré-lançamento, ele está disponível apenas para assinantes pagantes dos planos Business
Descubra os melhores ferramentas de repetição espaçada em AI de 2026, selecionadas por XIX.AI. Nossas escolhas mais recomendadas e revolucionárias ajudam estudantes de medicina e direito a otimizar seus horários de estudo para uma melhor retenção do conhecimento. Compare opções gratuitas e pagas com testes reais e rankings atualizados semanalmente. Desfrute agora de uma vantagem competitiva no aprendizado.
10 ferramentas
xix.ai
As melhores plataformas de IA para conversão de texto em vídeo de 2026: as ferramentas mais bem avaliadas para redação de roteiros e narrativa visual. Descubra soluções poderosas e revolucionárias para transformar seu texto em vídeos envolventes. Compare opções gratuitas e pagas com nossos rankings atualizados semanalmente e testes práticos. Encontre a plataforma perfeita para impulsionar sua criatividade e produtividade. Explore a seleção especial no XIX.AI.
10 ferramentas
xix.ai
2026 Mais recente: Descubra os melhores orquestradores multi-agente de IA para projetar fluxos de trabalho automatizados complexos através do uso da linguagem natural. Nossa lista selecionada apresenta plataformas poderosas e altamente avaliadas para uma automação de tarefas sem falhas e um gerenciamento inteligente de processos. Compare opções gratuitas e pagas com informações reais do mundo real. Desfrute de uma vantagem competitiva com as classificações atualizadas semanalmente por especialistas da XIX.AI.
10 ferramentas
xix.ai
Descubra os melhores softwares de redução de ruído por IA de 2026 para fotografias noturnas em baixas condições de luz. Nossa lista selecionada e avaliada compara ferramentas gratuitas e pagas, apresentando testes reais e classificações atualizadas semanalmente. Remova facilmente granulação e distorções nas imagens. Desfrute das vantagens da inteligência artificial em XIX.AI.
10 ferramentas
xix.ai
Descubra os melhores geradores personalizados de namoradas com IA de 2026 no XIX.AI. Explore nossa lista selecionada e com as melhores avaliações para criar personalidades únicas, hobbies e histórias de fundo detalhadas. Compare as opções gratuitas com as pagas com informações reais. Encontre hoje mesmo sua companheira criativa perfeita.
10 ferramentas
xix.ai
Descubra as melhores ferramentas de projeto de arquitetura de IA de 2026 no XIX.AI. Nossa lista selecionada e com as melhores avaliações apresenta soluções poderosas e revolucionárias para criar arquiteturas de sistemas escaláveis usando linguagem natural. Compare opções gratuitas e pagas com informações práticas. Aproveite ao máximo sua vantagem em IA e otimize o desenvolvimento hoje mesmo.
10 ferramentas
xix.ai
