首頁新API系統中的嚴重漏洞導致未加密金鑰可被無限量免費使用
AIbase報告,2026年4月16日 —— 廣泛應用的AI大模型介面聚合管理系統QuantumNous/new-api(通常被稱為NewAPI)在開源社羣和自託管網站管理員中非常受歡迎,但現已確認其支付邏輯存在一個高風險的漏洞。當Stripe支付金鑰配置不正確時,攻擊者可以偽造Webhook事件來繞過實際的支付流程,從而實現“零成本”地充值任意金額。
這一漏洞的攻擊手段和應對策略在開發者論壇以及X(前身為Twitter)等公共技術社羣引發了廣泛討論。由於該系統常被用於商業運營或基於代幣的計費場景,因此發現者暫時未公開完整的概念驗證攻擊程式碼,以防止惡意利用和潛在的財務損失。
漏洞原理分析
NewAPI是一個管理系統,負責處理OpenAI、Claude等大模型介面的中間處理、計費和充值功能。此次暴露的漏洞核心在於其在支付成功回撥(非同步Webhook處理邏輯)中未能嚴格驗證空字串形式的Stripe金鑰。
根據技術社羣流傳的攻擊流程分析,當伺服器端的Stripe webhook_secret未配置(即為空字串)時,就會導致嚴重的信任危機:
簽名機制失效:HMAC-SHA256演算法在處理空金鑰時不會生成錯誤,這使得任何攻擊者都能計算出與伺服器驗證邏輯完全匹配的偽造簽名。
構造惡意事件:攻擊者只需獲取或猜出訂單編號格式,就可以偽造checkout.session_completed事件,並在資料包中設定任意高的amount_total(充值金額)。
未經實際支付即可完成資金扣款:將偽造請求傳送到伺服器的Webhook端點後,伺服器會使用空金鑰來驗證簽名。一旦驗證透過,系統就會錯誤地將其視為有效的已支付訂單,並將資金存入攻擊者的賬戶餘額中。
最終結果:Stripe實際上沒有收到任何資金,官方的Stripe控制面板中也不會出現任何交易記錄。但伺服器日誌會顯示正常的Webhook回撥資訊,而攻擊者的賬戶餘額確實增加了。
漏洞影響範圍
這一漏洞僅適用於那些Stripe金鑰配置不當的情況。許多管理員在設定測試環境時,或者當他們的網站主要依賴其他支付方式(如微信或支付寶)而不使用Stripe模組時,往往會忽略配置這一金鑰,因此他們極易受到攻擊。
官方修復方案與建議
針對這一嚴重的安全風險,專案團隊迅速採取了行動,於今日釋出了最新的v0.12.10版本。更新日誌明確指出了修復方向:“最佳化了Stripe支付處理流程,以更好地應對非同步Webhook事件”,從而從根本層面解決了回撥驗證中的安全漏洞。
安全專家強烈建議所有NewAPI使用者採取以下措施:
立即升級:將您的例項升級到最新的v0.12.10或更高版本(建議直接下載最新發布的版本或夜間構建版本)。
確保金鑰配置正確:即使您的網站不打算使用Stripe支付功能,在升級後也必須在後端配置Stripe金鑰。建議使用隨機生成的強密碼字串,或者透過環境變數來嚴格控制金鑰的設定,從而避免出現空金鑰的情況。
進行計費自我審計:立即檢查系統中現有的使用者訂單和充值記錄(尤其是在測試環境中),將這些記錄與實際收到的資金進行比對,排查是否存在任何欺詐性的高額充值行為。
加強支付認證機制:對於生產環境而言,建議仔細審查所有支付渠道的非同步回撥邏輯,確保簽名有效性和訂單狀態真實性都得到雙重驗證。
由於這一漏洞的利用門檻相對較低,因此建議所有相關管理員立即採取自我檢查和升級措施,以防止潛在的數字資產損失。
相關文章
SpaceX的IPO申請檔案重點體現了其在衛星網際網路和人工智慧領域的發展雄心
在為即將進行的IPO提交的S-1註冊檔案中,SpaceX公佈了一系列令人矚目的業務資料,這些資料凸顯了其在航空航天通訊和人工智慧領域的強大實力:Starlink使用者數突破1000萬:截至2026年第一季度,全球付費Starlink使用者數量已達到1030萬,這一數字在過去一年內翻了一番。這一增長充分證明了作為全球最大的近地軌道衛星星座,Starlink在寬頻和行動通訊領域的領先地位。目前該衛星網路由大約9600顆衛星組成,這些衛星佔在軌所有活躍衛星總數的65%。Grok與X人工智慧生態體系:通
阿里巴巴Tuhao M890上市,憑藉三重效能優勢開啟晶片-雲-模型-推理的全棧代理時代
2026年5月20日,在阿里雲峰會上,阿里雲宣佈完成了專為“智慧體時代”設計的全棧技術系統升級。這一變革重塑了整個技術體系——從底層晶片和雲平臺到模型與推理方案。此次升級使阿里雲成為一家能夠讓大量智慧體實現24/7連續執行的“AI工廠”,從而超越了單純為人類使用者提供服務的範疇。1. 核心基礎:騰迅振武M890晶片與超級節點伺服器此次升級的核心是騰迅推出的新一代AI晶片——振武M890,該晶片集訓練與推理功能於一體。效能提升:M890擁有144GB的記憶體,其效能是前代產品振武810E的三倍。
奔騰4的復興:這款已有20年曆史的CPU能夠執行Meta Llama 3大型模型
最近,YouTube技術頻道Fully Buffered進行了一項令人印象深刻且極具挑戰性的實驗:他們成功地在2006年推出的Pentium 4 641處理器上執行了Meta最新的Llama 3.2 3B大型模型。這項測試迫使現代人工智慧技術與二十年前的硬體裝置進行了碰撞,不僅揭示了大語言模型的基本相容性限制,還引發了眾多觀眾的思考:在人工智慧時代,摩爾定律是如何以這種不同尋常的方式實現跨代際應用的。硬體考古學:將2006年的元件推向極限為了完成這項測試,Fully Buffered團隊重
相關專題推薦
視頻創作
播客創作者首選的頂尖 AI 影片製作工具:將音訊波形轉化為引人入勝的談話頭像影片
立即前往 XIX.AI,探索 2026 年最適合播客的頂尖 AI 影片製作工具。我們精心挑選並評選出的這份榜單,收錄了多款強大工具,能輕鬆將您的音訊轉化為引人入勝的談話頭像影片。透過實際測試與每週更新的排行榜,比較免費與付費選項的差異。立即解鎖您的視覺敘事優勢。
10 個工具
xix.ai
聊天機器人
利用這些角色扮演工具,打造屬於你的 AI 愛情故事
探索 2026 年最新、評價最高的 AI 角色扮演工具,打造身臨其境的敘事體驗。XIX.AI 精心整理的清單收錄了多款功能強大、能徹底改變遊戲規則的助手,助您釋放創意敘事潛能並增添情感深度。透過實際測試,比較免費與付費選項的差異。立即展開您的獨特旅程。
10 個工具
xix.ai
文字轉語音
獨立遊戲開發者必備的頂尖 AI 配音工具:為 RPG 與視覺小說節省配音時間
探索 2026 年最適合遊戲開發者的 AI 配音工具!XIX.AI 精心整理的清單收錄了備受好評、能徹底改變遊戲開發模式的解決方案,助您在角色扮演遊戲(RPG)和視覺小說(Visual Novel)的配音製作上節省時間與成本。探索免費與付費版本的比較、實際測試結果,以及每週更新的排行榜。立即找到最適合您的配音工具!
10 個工具
xix.ai
教育與學習
最佳人工智慧間隔重複學習工具:幫助醫學生和法律專業學生最佳化學習計劃
探索由 XIX.AI 精心挑選的 2026 年最佳 AI 間隔重複學習工具。我們推薦的這些極具創新性的工具能幫助醫學和法律專業的學生最佳化學習計劃,從而提高知識記憶效果。透過真實案例測試和每週更新的排名資訊,你可以瞭解免費選項與付費選項之間的差異。現在就開啟你的學習優勢吧!
10 個工具
xix.ai
視頻創作
最適合劇本創作與視覺敘事的 AI 文字轉影片平台
2026 年最新最佳 AI 文字轉影片平台:頂級劇本撰寫與視覺敘事工具。探索強大且顛覆傳統的解決方案,將您的文字轉化為引人入勝的影片。透過我們每週更新的排行榜與實際測試,比較免費與付費選項。找到最適合您的平台,提升創造力與生產力。立即探索 XIX.AI 精選推薦。
10 個工具
xix.ai
聊天機器人
AI多智慧體編排器:透過自然語言設計複雜的自動化工作流程
2026最新資訊:探索最優秀的人工智慧多智慧體協調工具,透過自然語言設計複雜的自動化工作流程。我們精心挑選的列表中包含了評分最高、功能強大的平臺,這些平臺能夠實現無縫的任務自動化和智慧化的流程管理。對比免費與付費選項,並瞭解實際應用中的效果。藉助XIX.AI每週更新的專家排名,讓你在人工智慧領域取得領先優勢。
10 個工具
xix.ai
評論 (0)
0/500
AIbase報告,2026年4月16日 —— 廣泛應用的AI大模型介面聚合管理系統QuantumNous/new-api(通常被稱為NewAPI)在開源社羣和自託管網站管理員中非常受歡迎,但現已確認其支付邏輯存在一個高風險的漏洞。當Stripe支付金鑰配置不正確時,攻擊者可以偽造Webhook事件來繞過實際的支付流程,從而實現“零成本”地充值任意金額。
這一漏洞的攻擊手段和應對策略在開發者論壇以及X(前身為Twitter)等公共技術社羣引發了廣泛討論。由於該系統常被用於商業運營或基於代幣的計費場景,因此發現者暫時未公開完整的概念驗證攻擊程式碼,以防止惡意利用和潛在的財務損失。
漏洞原理分析
NewAPI是一個管理系統,負責處理OpenAI、Claude等大模型介面的中間處理、計費和充值功能。此次暴露的漏洞核心在於其在支付成功回撥(非同步Webhook處理邏輯)中未能嚴格驗證空字串形式的Stripe金鑰。
根據技術社羣流傳的攻擊流程分析,當伺服器端的Stripe webhook_secret未配置(即為空字串)時,就會導致嚴重的信任危機:
簽名機制失效:HMAC-SHA256演算法在處理空金鑰時不會生成錯誤,這使得任何攻擊者都能計算出與伺服器驗證邏輯完全匹配的偽造簽名。
構造惡意事件:攻擊者只需獲取或猜出訂單編號格式,就可以偽造checkout.session_completed事件,並在資料包中設定任意高的amount_total(充值金額)。
未經實際支付即可完成資金扣款:將偽造請求傳送到伺服器的Webhook端點後,伺服器會使用空金鑰來驗證簽名。一旦驗證透過,系統就會錯誤地將其視為有效的已支付訂單,並將資金存入攻擊者的賬戶餘額中。
最終結果:Stripe實際上沒有收到任何資金,官方的Stripe控制面板中也不會出現任何交易記錄。但伺服器日誌會顯示正常的Webhook回撥資訊,而攻擊者的賬戶餘額確實增加了。
漏洞影響範圍
這一漏洞僅適用於那些Stripe金鑰配置不當的情況。許多管理員在設定測試環境時,或者當他們的網站主要依賴其他支付方式(如微信或支付寶)而不使用Stripe模組時,往往會忽略配置這一金鑰,因此他們極易受到攻擊。
官方修復方案與建議
針對這一嚴重的安全風險,專案團隊迅速採取了行動,於今日釋出了最新的v0.12.10版本。更新日誌明確指出了修復方向:“最佳化了Stripe支付處理流程,以更好地應對非同步Webhook事件”,從而從根本層面解決了回撥驗證中的安全漏洞。
安全專家強烈建議所有NewAPI使用者採取以下措施:
立即升級:將您的例項升級到最新的v0.12.10或更高版本(建議直接下載最新發布的版本或夜間構建版本)。
確保金鑰配置正確:即使您的網站不打算使用Stripe支付功能,在升級後也必須在後端配置Stripe金鑰。建議使用隨機生成的強密碼字串,或者透過環境變數來嚴格控制金鑰的設定,從而避免出現空金鑰的情況。
進行計費自我審計:立即檢查系統中現有的使用者訂單和充值記錄(尤其是在測試環境中),將這些記錄與實際收到的資金進行比對,排查是否存在任何欺詐性的高額充值行為。
加強支付認證機制:對於生產環境而言,建議仔細審查所有支付渠道的非同步回撥邏輯,確保簽名有效性和訂單狀態真實性都得到雙重驗證。
由於這一漏洞的利用門檻相對較低,因此建議所有相關管理員立即採取自我檢查和升級措施,以防止潛在的數字資產損失。
SpaceX的IPO申請檔案重點體現了其在衛星網際網路和人工智慧領域的發展雄心
在為即將進行的IPO提交的S-1註冊檔案中,SpaceX公佈了一系列令人矚目的業務資料,這些資料凸顯了其在航空航天通訊和人工智慧領域的強大實力:Starlink使用者數突破1000萬:截至2026年第一季度,全球付費Starlink使用者數量已達到1030萬,這一數字在過去一年內翻了一番。這一增長充分證明了作為全球最大的近地軌道衛星星座,Starlink在寬頻和行動通訊領域的領先地位。目前該衛星網路由大約9600顆衛星組成,這些衛星佔在軌所有活躍衛星總數的65%。Grok與X人工智慧生態體系:通
阿里巴巴Tuhao M890上市,憑藉三重效能優勢開啟晶片-雲-模型-推理的全棧代理時代
2026年5月20日,在阿里雲峰會上,阿里雲宣佈完成了專為“智慧體時代”設計的全棧技術系統升級。這一變革重塑了整個技術體系——從底層晶片和雲平臺到模型與推理方案。此次升級使阿里雲成為一家能夠讓大量智慧體實現24/7連續執行的“AI工廠”,從而超越了單純為人類使用者提供服務的範疇。1. 核心基礎:騰迅振武M890晶片與超級節點伺服器此次升級的核心是騰迅推出的新一代AI晶片——振武M890,該晶片集訓練與推理功能於一體。效能提升:M890擁有144GB的記憶體,其效能是前代產品振武810E的三倍。
奔騰4的復興:這款已有20年曆史的CPU能夠執行Meta Llama 3大型模型
最近,YouTube技術頻道Fully Buffered進行了一項令人印象深刻且極具挑戰性的實驗:他們成功地在2006年推出的Pentium 4 641處理器上執行了Meta最新的Llama 3.2 3B大型模型。這項測試迫使現代人工智慧技術與二十年前的硬體裝置進行了碰撞,不僅揭示了大語言模型的基本相容性限制,還引發了眾多觀眾的思考:在人工智慧時代,摩爾定律是如何以這種不同尋常的方式實現跨代際應用的。硬體考古學:將2006年的元件推向極限為了完成這項測試,Fully Buffered團隊重
立即前往 XIX.AI,探索 2026 年最適合播客的頂尖 AI 影片製作工具。我們精心挑選並評選出的這份榜單,收錄了多款強大工具,能輕鬆將您的音訊轉化為引人入勝的談話頭像影片。透過實際測試與每週更新的排行榜,比較免費與付費選項的差異。立即解鎖您的視覺敘事優勢。
10 個工具
xix.ai
探索 2026 年最新、評價最高的 AI 角色扮演工具,打造身臨其境的敘事體驗。XIX.AI 精心整理的清單收錄了多款功能強大、能徹底改變遊戲規則的助手,助您釋放創意敘事潛能並增添情感深度。透過實際測試,比較免費與付費選項的差異。立即展開您的獨特旅程。
10 個工具
xix.ai
探索 2026 年最適合遊戲開發者的 AI 配音工具!XIX.AI 精心整理的清單收錄了備受好評、能徹底改變遊戲開發模式的解決方案,助您在角色扮演遊戲(RPG)和視覺小說(Visual Novel)的配音製作上節省時間與成本。探索免費與付費版本的比較、實際測試結果,以及每週更新的排行榜。立即找到最適合您的配音工具!
10 個工具
xix.ai
探索由 XIX.AI 精心挑選的 2026 年最佳 AI 間隔重複學習工具。我們推薦的這些極具創新性的工具能幫助醫學和法律專業的學生最佳化學習計劃,從而提高知識記憶效果。透過真實案例測試和每週更新的排名資訊,你可以瞭解免費選項與付費選項之間的差異。現在就開啟你的學習優勢吧!
10 個工具
xix.ai
2026 年最新最佳 AI 文字轉影片平台:頂級劇本撰寫與視覺敘事工具。探索強大且顛覆傳統的解決方案,將您的文字轉化為引人入勝的影片。透過我們每週更新的排行榜與實際測試,比較免費與付費選項。找到最適合您的平台,提升創造力與生產力。立即探索 XIX.AI 精選推薦。
10 個工具
xix.ai
2026最新資訊:探索最優秀的人工智慧多智慧體協調工具,透過自然語言設計複雜的自動化工作流程。我們精心挑選的列表中包含了評分最高、功能強大的平臺,這些平臺能夠實現無縫的任務自動化和智慧化的流程管理。對比免費與付費選項,並瞭解實際應用中的效果。藉助XIX.AI每週更新的專家排名,讓你在人工智慧領域取得領先優勢。
10 個工具
xix.ai
