Дом
Критическая ошибка в новой системе API приводит к несанкционированному бесплатному использованию незащищенных ключей
Отчет AIbase от 16 апреля 2026 года — Широко используемая система агрегации и управления интерфейсами крупных ИИ-моделей QuantumNous/new-api (более известная как NewAPI), популярная среди сообществ разработчиков открытого кода и администраторов веб-сайтов, была признана содержащей уязвимость высокого риска в своей логике оплаты. Если ключ оплаты Stripe не настроен правильно, злоумышленники могут подделать события Webhook, чтобы обойти фактический процесс оплаты и осуществить перезарядку на произвольную сумму «без каких-либо затрат».
Методы атаки и стратегии устранения этой уязвимости вызвали обширные дискуссии на форумах разработчиков и в публичных технических сообществах, таких как X (ранее Twitter). Учитывая, что система часто используется в коммерческих целях или для расчетов на основе токенов, автор уязвимости временно не обнародовал полный код эксплойта, чтобы предотвратить злоупотребления и потенциальные финансовые убытки.
Анализ принципов уязвимости
NewAPI — это система управления, обрабатывающая функции промежуточной обработки, расчетов и перезарядок для интерфейсов крупных ИИ-моделей, таких как OpenAI и Claude. Суть выявленной уязвимости заключается в недостаточно строгой проверке пустых ключей Stripe в логике обратного вызова после успешной оплаты (асинхронная обработка Webhook).
Согласно анализу траектории атак, распространенному в технических сообществах, если на стороне сервера ключ webhook_secret Stripe не настроен (то есть оставлен пустым строкой), это приводит к серьезной потере доверия:
Неудача механизма подписи: Алгоритм HMAC-SHA256 не выдает ошибку при обработке пустого ключа. Это позволяет злоумышленникам создать поддельную подпись, идеально соответствующую логике проверки сервера для пользовательского данных.
Создание вредоносного события: Злоумышленникам достаточно получить или угадать формат номера заказа, чтобы подделать событие checkout.session_completed и установить произвольно большую сумму перезарядки в пакете данных.
Перевод средств без фактической оплаты: После отправки поддельного запроса на серверный endpoint Webhook, сервер проверяет подпись с использованием пустого ключа. В случае успешной проверки система ошибочно рассматривает это как легитимный заказ и переводит средства на счет злоумышленника.
Итоговый результат: Stripe не получает никаких платежей, и в официальной доске контроля Stripe не появляются записи о транзакциях. Однако в логах сервера отображаются обычные ответные вызовы Webhook, и баланс счета злоумышленника увеличивается.
Область влияния уязвимости
Эта уязвимость влияет только на случаи, когда ключ Stripe Secret Key не настроен правильно. Многие администраторы пренебрегают настройкой этого ключа при создании тестовых сред или когда их сайты в основном используют другие способы оплаты (например, WeChat или Alipay) и не применяют модуль Stripe, что делает их уязвимыми.
Официальные исправления и рекомендации
В ответ на этот серьезный риск безопасности команда проекта быстро отреагировала и выпустила самую последнюю версию v0.12.10 сегодня. В журнале обновлений четко указано направление исправлений: «Улучшена обработка платежей через Stripe для лучшего обращения с асинхронными событиями Webhook», что решает проблему с проверкой обратных вызовов на фундаментальном уровне.
Эксперты по безопасности настоятельно рекомендуют всем пользователям NewAPI предпринять следующие действия:
Немедленное обновление: Обновите свою версию до последней v0.12.10 или более новой (рекомендуется использовать прямую ссылку на последнюю версию или ежедневную сборку).
Обязательная настройка ключа: Даже если ваш сайт не планирует использовать платежи через Stripe, после обновления необходимо настроить ключ Stripe Secret Key в backend. Рекомендуется использовать случайно сгенерированный сильный пароль или строго контролировать его с помощью переменных окружения, чтобы исключить возможность использования пустого ключа.
Проведение самопроверки расчетов: Немедленно проверьте существующие заказы пользователей и записи о перезарядках в системе (особенно в тестовых средах), сравните их с фактически полученными средствами и проверьте на наличие мошеннических операций с большими суммами.
Улучшение аутентификации платежей: Для производственных сред рекомендуется тщательно проверить логику асинхронных обратных вызовов для всех каналов оплаты, чтобы обеспечить двойную проверку как подлинности подписи, так и статуса заказа.
Технические детали этой уязвимости теперь доступны общественности. Учитывая относительно низкий порог ее эксплуатации, рекомендуется всем соответствующим администраторам немедленно приступить к самопроверке и обновлениям, чтобы предотвратить потенциальные убытки цифровых активов.
Связанная статья
МИИТ просит общественность дать отзывы по 121 отраслевому стандарту, включая Протокол контекста моделей искусственного интеллекта
Министерство промышленности и информационных технологий Китая официально опубликовало уведомление с призывом к общественным отзывам по 121 проекту в области стандартизации промышленности, включая «Требования к безопасности приложений в контексте моде
OpenAI сотрудничает с Министерством обороны США; количество случаев деинсталляции ChatGPT увеличилось на 295%.
Общественный гнев: Военное сотрудничество OpenAI вызывает волну отзывов о необходимости удаления приложенияНедавно ведущая компания в области искусственного интеллекта OpenAI объявила о тесном сотрудничестве с Министерством обороны США, предусматрив
OpenAI запускает функцию «Сайты», положив конец эре «безкодового» программирования благодаря веб-сайтам на базе Word
Компания OpenAI представила Sites — новую функцию для Codex, своего ИИ-решения для разработки программного обеспечения. В настоящее время функция находится в стадии предварительного доступа и доступна
Рекомендации по связанным специальным темам
Образование и обучение
Лучшие инструменты искусственного интеллекта для систематического повторения материала: оптимизация учебных планов студентов-медиков и юристов
Откройте для себя лучшие инструменты для повторения материала с использованием технологий искусственного интеллекта в 2026 году, подобранные компанией XIX.AI. Наши самые популярные и революционные инструменты помогут студентам-медикам и юристам оптимизировать расписание занятий для лучшего запоминания информации. Сравните бесплатные и платные варианты с использованием реальных примеров и еженедельно обновляемых рейтингов. Раскройте для себя все возможности эффективного обучения уже сегодня.
10 инструментов
xix.ai
Создание видео
Лучшие платформы для преобразования текста в видео с помощью ИИ для написания сценариев и визуального повествования
2026: лучшие платформы для преобразования текста в видео с помощью ИИ: самые популярные инструменты для написания сценариев и визуального повествования. Откройте для себя мощные, революционные решения, которые помогут превратить ваш текст в увлекательные видеоролики. Сравните бесплатные и платные варианты с помощью наших еженедельно обновляемых рейтингов и реальных тестов. Найдите идеальную платформу, которая поможет вам раскрыть свой творческий потенциал и повысить продуктивность. Ознакомьтесь с тщательно подобранной подборкой на сайте XIX.AI.
10 инструментов
xix.ai
чат-бот
АИ-оркестраторы множественных агентов: создание сложных автоматизированных рабочих процессов с использованием естественного языка
2026 Год: Откройте для себя лучшие инструменты на основе искусственного интеллекта, предназначенные для создания сложных автоматизированных рабочих процессов с использованием естественного языка. Наш отобранный список включает наиболее популярные и мощные платформы, обеспечивающие бесшовную автоматизацию задач и интеллектуальное управление процессами. Сравните бесплатные и платные варианты с примерами реального использования. Получите преимущества, предоставляемые технологиями искусственного интеллекта, благодаря еженедельно обновляемым рейтингам от XIX.AI.
10 инструментов
xix.ai
Редактирование изображений
Лучшее программное обеспечение для снижения шума на основе искусственного интеллекта: устранение зерна и артефактов на снимках, сделанных в условиях слабого освещения ночью
Откройте для себя лучшие программы по уменьшению шума на основе искусственного интеллекта в 2026 году, предназначенные для фотографии в условиях слабого освещения ночью. Наш список, составленный специально для вас, сравнивает бесплатные и платные инструменты, включает результаты реальных тестов и еженедельно обновляемые рейтинги. Избавьтесь от шума и других нежелательных эффектов без особых усилий. Откройте для себя преимущества искусственного интеллекта в сервисе XIX.AI.
10 инструментов
xix.ai
чат-бот
Лучшие генераторы индивидуальных ИИ-подруг: создавайте уникальные характеры, увлечения и истории
Откройте для себя 2026 лучших генераторов индивидуальных ИИ-подруг на сайте XIX.AI. Ознакомьтесь с нашим тщательно отобранным списком самых популярных сервисов, которые помогут вам создать уникальные личности, увлечения и глубокие предыстории. Сравните бесплатные и платные варианты с помощью реальных отзывов. Найдите своего идеального творческого спутника уже сегодня.
10 инструментов
xix.ai
Производительность
Разработчики архитектуры ИИ: создание масштабируемых системных архитектур с использованием естественного языка
Откройте для себя лучшие инструменты для проектирования архитектуры ИИ 2026 года на сайте XIX.AI. В нашем тщательно отобранном списке лидеров представлены мощные, революционные решения для создания масштабируемых системных архитектур с помощью естественного языка. Сравните бесплатные и платные варианты, опираясь на реальные отзывы. Раскройте свой потенциал в сфере ИИ и оптимизируйте процесс разработки уже сегодня.
10 инструментов
xix.ai
Комментарии (0)
Отчет AIbase от 16 апреля 2026 года — Широко используемая система агрегации и управления интерфейсами крупных ИИ-моделей QuantumNous/new-api (более известная как NewAPI), популярная среди сообществ разработчиков открытого кода и администраторов веб-сайтов, была признана содержащей уязвимость высокого риска в своей логике оплаты. Если ключ оплаты Stripe не настроен правильно, злоумышленники могут подделать события Webhook, чтобы обойти фактический процесс оплаты и осуществить перезарядку на произвольную сумму «без каких-либо затрат».
Методы атаки и стратегии устранения этой уязвимости вызвали обширные дискуссии на форумах разработчиков и в публичных технических сообществах, таких как X (ранее Twitter). Учитывая, что система часто используется в коммерческих целях или для расчетов на основе токенов, автор уязвимости временно не обнародовал полный код эксплойта, чтобы предотвратить злоупотребления и потенциальные финансовые убытки.
Анализ принципов уязвимости
NewAPI — это система управления, обрабатывающая функции промежуточной обработки, расчетов и перезарядок для интерфейсов крупных ИИ-моделей, таких как OpenAI и Claude. Суть выявленной уязвимости заключается в недостаточно строгой проверке пустых ключей Stripe в логике обратного вызова после успешной оплаты (асинхронная обработка Webhook).
Согласно анализу траектории атак, распространенному в технических сообществах, если на стороне сервера ключ webhook_secret Stripe не настроен (то есть оставлен пустым строкой), это приводит к серьезной потере доверия:
Неудача механизма подписи: Алгоритм HMAC-SHA256 не выдает ошибку при обработке пустого ключа. Это позволяет злоумышленникам создать поддельную подпись, идеально соответствующую логике проверки сервера для пользовательского данных.
Создание вредоносного события: Злоумышленникам достаточно получить или угадать формат номера заказа, чтобы подделать событие checkout.session_completed и установить произвольно большую сумму перезарядки в пакете данных.
Перевод средств без фактической оплаты: После отправки поддельного запроса на серверный endpoint Webhook, сервер проверяет подпись с использованием пустого ключа. В случае успешной проверки система ошибочно рассматривает это как легитимный заказ и переводит средства на счет злоумышленника.
Итоговый результат: Stripe не получает никаких платежей, и в официальной доске контроля Stripe не появляются записи о транзакциях. Однако в логах сервера отображаются обычные ответные вызовы Webhook, и баланс счета злоумышленника увеличивается.
Область влияния уязвимости
Эта уязвимость влияет только на случаи, когда ключ Stripe Secret Key не настроен правильно. Многие администраторы пренебрегают настройкой этого ключа при создании тестовых сред или когда их сайты в основном используют другие способы оплаты (например, WeChat или Alipay) и не применяют модуль Stripe, что делает их уязвимыми.
Официальные исправления и рекомендации
В ответ на этот серьезный риск безопасности команда проекта быстро отреагировала и выпустила самую последнюю версию v0.12.10 сегодня. В журнале обновлений четко указано направление исправлений: «Улучшена обработка платежей через Stripe для лучшего обращения с асинхронными событиями Webhook», что решает проблему с проверкой обратных вызовов на фундаментальном уровне.
Эксперты по безопасности настоятельно рекомендуют всем пользователям NewAPI предпринять следующие действия:
Немедленное обновление: Обновите свою версию до последней v0.12.10 или более новой (рекомендуется использовать прямую ссылку на последнюю версию или ежедневную сборку).
Обязательная настройка ключа: Даже если ваш сайт не планирует использовать платежи через Stripe, после обновления необходимо настроить ключ Stripe Secret Key в backend. Рекомендуется использовать случайно сгенерированный сильный пароль или строго контролировать его с помощью переменных окружения, чтобы исключить возможность использования пустого ключа.
Проведение самопроверки расчетов: Немедленно проверьте существующие заказы пользователей и записи о перезарядках в системе (особенно в тестовых средах), сравните их с фактически полученными средствами и проверьте на наличие мошеннических операций с большими суммами.
Улучшение аутентификации платежей: Для производственных сред рекомендуется тщательно проверить логику асинхронных обратных вызовов для всех каналов оплаты, чтобы обеспечить двойную проверку как подлинности подписи, так и статуса заказа.
Технические детали этой уязвимости теперь доступны общественности. Учитывая относительно низкий порог ее эксплуатации, рекомендуется всем соответствующим администраторам немедленно приступить к самопроверке и обновлениям, чтобы предотвратить потенциальные убытки цифровых активов.
МИИТ просит общественность дать отзывы по 121 отраслевому стандарту, включая Протокол контекста моделей искусственного интеллекта
Министерство промышленности и информационных технологий Китая официально опубликовало уведомление с призывом к общественным отзывам по 121 проекту в области стандартизации промышленности, включая «Требования к безопасности приложений в контексте моде
OpenAI сотрудничает с Министерством обороны США; количество случаев деинсталляции ChatGPT увеличилось на 295%.
Общественный гнев: Военное сотрудничество OpenAI вызывает волну отзывов о необходимости удаления приложенияНедавно ведущая компания в области искусственного интеллекта OpenAI объявила о тесном сотрудничестве с Министерством обороны США, предусматрив
OpenAI запускает функцию «Сайты», положив конец эре «безкодового» программирования благодаря веб-сайтам на базе Word
Компания OpenAI представила Sites — новую функцию для Codex, своего ИИ-решения для разработки программного обеспечения. В настоящее время функция находится в стадии предварительного доступа и доступна
Откройте для себя лучшие инструменты для повторения материала с использованием технологий искусственного интеллекта в 2026 году, подобранные компанией XIX.AI. Наши самые популярные и революционные инструменты помогут студентам-медикам и юристам оптимизировать расписание занятий для лучшего запоминания информации. Сравните бесплатные и платные варианты с использованием реальных примеров и еженедельно обновляемых рейтингов. Раскройте для себя все возможности эффективного обучения уже сегодня.
10 инструментов
xix.ai
2026: лучшие платформы для преобразования текста в видео с помощью ИИ: самые популярные инструменты для написания сценариев и визуального повествования. Откройте для себя мощные, революционные решения, которые помогут превратить ваш текст в увлекательные видеоролики. Сравните бесплатные и платные варианты с помощью наших еженедельно обновляемых рейтингов и реальных тестов. Найдите идеальную платформу, которая поможет вам раскрыть свой творческий потенциал и повысить продуктивность. Ознакомьтесь с тщательно подобранной подборкой на сайте XIX.AI.
10 инструментов
xix.ai
2026 Год: Откройте для себя лучшие инструменты на основе искусственного интеллекта, предназначенные для создания сложных автоматизированных рабочих процессов с использованием естественного языка. Наш отобранный список включает наиболее популярные и мощные платформы, обеспечивающие бесшовную автоматизацию задач и интеллектуальное управление процессами. Сравните бесплатные и платные варианты с примерами реального использования. Получите преимущества, предоставляемые технологиями искусственного интеллекта, благодаря еженедельно обновляемым рейтингам от XIX.AI.
10 инструментов
xix.ai
Откройте для себя лучшие программы по уменьшению шума на основе искусственного интеллекта в 2026 году, предназначенные для фотографии в условиях слабого освещения ночью. Наш список, составленный специально для вас, сравнивает бесплатные и платные инструменты, включает результаты реальных тестов и еженедельно обновляемые рейтинги. Избавьтесь от шума и других нежелательных эффектов без особых усилий. Откройте для себя преимущества искусственного интеллекта в сервисе XIX.AI.
10 инструментов
xix.ai
Откройте для себя 2026 лучших генераторов индивидуальных ИИ-подруг на сайте XIX.AI. Ознакомьтесь с нашим тщательно отобранным списком самых популярных сервисов, которые помогут вам создать уникальные личности, увлечения и глубокие предыстории. Сравните бесплатные и платные варианты с помощью реальных отзывов. Найдите своего идеального творческого спутника уже сегодня.
10 инструментов
xix.ai
Откройте для себя лучшие инструменты для проектирования архитектуры ИИ 2026 года на сайте XIX.AI. В нашем тщательно отобранном списке лидеров представлены мощные, революционные решения для создания масштабируемых системных архитектур с помощью естественного языка. Сравните бесплатные и платные варианты, опираясь на реальные отзывы. Раскройте свой потенциал в сфере ИИ и оптимизируйте процесс разработки уже сегодня.
10 инструментов
xix.ai
