首页新API系统中的严重漏洞导致未加密密钥可被无限量免费使用
AIbase报告,2026年4月16日 —— 广泛应用的AI大模型接口聚合管理系统QuantumNous/new-api(通常被称为NewAPI)在开源社区和自托管网站管理员中非常受欢迎,但现已确认其支付逻辑存在一个高风险的漏洞。当Stripe支付密钥配置不正确时,攻击者可以伪造Webhook事件来绕过实际的支付流程,从而实现“零成本”地充值任意金额。
这一漏洞的攻击手段和应对策略在开发者论坛以及X(前身为Twitter)等公共技术社区引发了广泛讨论。由于该系统常被用于商业运营或基于代币的计费场景,因此发现者暂时未公开完整的概念验证攻击代码,以防止恶意利用和潜在的财务损失。
漏洞原理分析
NewAPI是一个管理系统,负责处理OpenAI、Claude等大模型接口的中间处理、计费和充值功能。此次暴露的漏洞核心在于其在支付成功回调(异步Webhook处理逻辑)中未能严格验证空字符串形式的Stripe密钥。
根据技术社区流传的攻击流程分析,当服务器端的Stripe webhook_secret未配置(即为空字符串)时,就会导致严重的信任危机:
签名机制失效:HMAC-SHA256算法在处理空密钥时不会生成错误,这使得任何攻击者都能计算出与服务器验证逻辑完全匹配的伪造签名。
构造恶意事件:攻击者只需获取或猜出订单编号格式,就可以伪造checkout.session_completed事件,并在数据包中设置任意高的amount_total(充值金额)。
未经实际支付即可完成资金扣款:将伪造请求发送到服务器的Webhook端点后,服务器会使用空密钥来验证签名。一旦验证通过,系统就会错误地将其视为有效的已支付订单,并将资金存入攻击者的账户余额中。
最终结果:Stripe实际上没有收到任何资金,官方的Stripe控制面板中也不会出现任何交易记录。但服务器日志会显示正常的Webhook回调信息,而攻击者的账户余额确实增加了。
漏洞影响范围
这一漏洞仅适用于那些Stripe密钥配置不当的情况。许多管理员在设置测试环境时,或者当他们的网站主要依赖其他支付方式(如微信或支付宝)而不使用Stripe模块时,往往会忽略配置这一密钥,因此他们极易受到攻击。
官方修复方案与建议
针对这一严重的安全风险,项目团队迅速采取了行动,于今日发布了最新的v0.12.10版本。更新日志明确指出了修复方向:“优化了Stripe支付处理流程,以更好地应对异步Webhook事件”,从而从根本层面解决了回调验证中的安全漏洞。
安全专家强烈建议所有NewAPI用户采取以下措施:
立即升级:将您的实例升级到最新的v0.12.10或更高版本(建议直接下载最新发布的版本或夜间构建版本)。
确保密钥配置正确:即使您的网站不打算使用Stripe支付功能,在升级后也必须在后端配置Stripe密钥。建议使用随机生成的强密码字符串,或者通过环境变量来严格控制密钥的设置,从而避免出现空密钥的情况。
进行计费自我审计:立即检查系统中现有的用户订单和充值记录(尤其是在测试环境中),将这些记录与实际收到的资金进行比对,排查是否存在任何欺诈性的高额充值行为。
加强支付认证机制:对于生产环境而言,建议仔细审查所有支付渠道的异步回调逻辑,确保签名有效性和订单状态真实性都得到双重验证。
由于这一漏洞的利用门槛相对较低,因此建议所有相关管理员立即采取自我检查和升级措施,以防止潜在的数字资产损失。
相关文章
杭州市上城区推出了浙江省首个基于AIGC技术的视听产业“黄金十项措施”,并设立了50亿规模的产业发展基金。
16日,AIGC视听产业创新生态大会在杭州上城区举行。会议期间,该省推出了针对AIGC视听产业的的首项专项政策——“黄金十项措施”。这项政策涵盖了技术创新、成本降低、内容质量提升、人才培养以及全球发展等多个方面。这些政策提供了强有力的激励措施。对于技术创新领域,凡是专注于AIGC工具、AI虚拟拍摄和AI交互叙事系统的研究开发项目,均可获得最高300万元的补贴。而对于高质量的内容创作,那些在年内通过知名平台发布的AIGC视听作品,每部可获得最高30万元的奖励,每家企业的年度奖励总额上限为100万
北京工业大学就包括人工智能模型上下文协议在内的121项行业标准征求公众意见
中国工业和信息化部正式发布通知,征求公众对121项行业标准化的意见,其中包括“人工智能安全治理模型上下文协议的应用安全要求”。这一公告标志着中国在建立人工智能基础标准和安全监管框架方面取得了重要进展。此次公开征求意见的重点是针对该模型上下文协议的应用安全问题,旨在通过标准化的技术规范来解决多模态交互、长文本处理以及跨平台调用过程中出现的协议兼容性和数据安全方面的问题。
OpenAI与美国国防部合作,ChatGPT的卸载数量激增了295%
公众愤怒:OpenAI的军事合作引发“卸载潮”近日,人工智能领域的领头羊OpenAI宣布与美国国防部建立了深度合作关系,将其人工智能模型整合到高度机密的军事网络中。这一消息在美国引发了广泛的用户抗议,“抵制ChatGPT”运动势头日益强劲。根据市场分析机构Sensor Tower的数据,2026年2月28日——OpenAI正式宣布这一合作的当天——美国市场上ChatGPT移动应用的卸载率比前一天激增了295%,而此前该应用的平均每日卸载率约为9%。用户们对人工智能被用于军事目的表示强烈担忧,
相关专题推荐
文字转语音
独立游戏开发者必备的顶级AI配音工具:为RPG和视觉小说节省配音时间
探索2026年最适合游戏开发者的AI配音工具!XIX.AI精心整理的这份清单汇集了广受好评、能彻底改变游戏开发格局的解决方案,助您在角色扮演游戏(RPG)和视觉小说的配音制作中节省时间和成本。了解免费与付费版本的对比分析、实际测试结果以及每周更新的排行榜。立即找到最适合您的配音工具吧!
10 个工具
xix.ai
教育与学习
最佳人工智能间隔重复学习工具:帮助医学生和法律专业学生优化学习计划
探索由 XIX.AI 精心挑选的 2026 年最佳 AI 间隔重复学习工具。我们推荐的这些极具创新性的工具能帮助医学和法律专业的学生优化学习计划,从而提高知识记忆效果。通过真实案例测试和每周更新的排名信息,你可以了解免费选项与付费选项之间的差异。现在就开启你的学习优势吧!
10 个工具
xix.ai
视频创作
最适合剧本创作和视觉叙事的AI文本转视频平台
2026年最新最佳AI文字转视频平台:备受好评的剧本创作与视觉叙事工具。探索这些功能强大、颠覆传统的解决方案,将您的文字转化为引人入胜的视频。通过我们每周更新的排行榜和实际测试,对比免费与付费选项。找到最适合您的平台,激发创意,提升效率。立即访问XIX.AI,探索精心精选的优质平台。
10 个工具
xix.ai
聊天机器人
AI多智能体编排器:通过自然语言设计复杂的自动化工作流程
2026最新资讯:探索最优秀的人工智能多智能体协调工具,通过自然语言设计复杂的自动化工作流程。我们精心挑选的列表中包含了评分最高、功能强大的平台,这些平台能够实现无缝的任务自动化和智能化的流程管理。对比免费与付费选项,并了解实际应用中的效果。借助XIX.AI每周更新的专家排名,让你在人工智能领域取得领先优势。
10 个工具
xix.ai
图像编辑
最佳AI降噪软件:消除低光夜间摄影中的颗粒感和伪影
探索2026年最适合低光夜间摄影的AI降噪软件。我们精心挑选了最受欢迎的免费及付费工具,通过实际测试并每周更新排名来进行对比。轻松去除图像中的颗粒感与瑕疵,在XIX.AI上释放你的AI潜力。
10 个工具
xix.ai
聊天机器人
最佳定制AI女友生成器:设计独特的个性、爱好和背景故事
在 XIX.AI 上探索 2026 年最佳定制 AI 女友生成器。浏览我们精心挑选的高评分清单,设计独一无二的个性、爱好和深入的背景故事。结合真实用户反馈,对比免费与付费选项。立即解锁您完美的创意伴侣。
10 个工具
xix.ai
评论 (0)
0/500
AIbase报告,2026年4月16日 —— 广泛应用的AI大模型接口聚合管理系统QuantumNous/new-api(通常被称为NewAPI)在开源社区和自托管网站管理员中非常受欢迎,但现已确认其支付逻辑存在一个高风险的漏洞。当Stripe支付密钥配置不正确时,攻击者可以伪造Webhook事件来绕过实际的支付流程,从而实现“零成本”地充值任意金额。
这一漏洞的攻击手段和应对策略在开发者论坛以及X(前身为Twitter)等公共技术社区引发了广泛讨论。由于该系统常被用于商业运营或基于代币的计费场景,因此发现者暂时未公开完整的概念验证攻击代码,以防止恶意利用和潜在的财务损失。
漏洞原理分析
NewAPI是一个管理系统,负责处理OpenAI、Claude等大模型接口的中间处理、计费和充值功能。此次暴露的漏洞核心在于其在支付成功回调(异步Webhook处理逻辑)中未能严格验证空字符串形式的Stripe密钥。
根据技术社区流传的攻击流程分析,当服务器端的Stripe webhook_secret未配置(即为空字符串)时,就会导致严重的信任危机:
签名机制失效:HMAC-SHA256算法在处理空密钥时不会生成错误,这使得任何攻击者都能计算出与服务器验证逻辑完全匹配的伪造签名。
构造恶意事件:攻击者只需获取或猜出订单编号格式,就可以伪造checkout.session_completed事件,并在数据包中设置任意高的amount_total(充值金额)。
未经实际支付即可完成资金扣款:将伪造请求发送到服务器的Webhook端点后,服务器会使用空密钥来验证签名。一旦验证通过,系统就会错误地将其视为有效的已支付订单,并将资金存入攻击者的账户余额中。
最终结果:Stripe实际上没有收到任何资金,官方的Stripe控制面板中也不会出现任何交易记录。但服务器日志会显示正常的Webhook回调信息,而攻击者的账户余额确实增加了。
漏洞影响范围
这一漏洞仅适用于那些Stripe密钥配置不当的情况。许多管理员在设置测试环境时,或者当他们的网站主要依赖其他支付方式(如微信或支付宝)而不使用Stripe模块时,往往会忽略配置这一密钥,因此他们极易受到攻击。
官方修复方案与建议
针对这一严重的安全风险,项目团队迅速采取了行动,于今日发布了最新的v0.12.10版本。更新日志明确指出了修复方向:“优化了Stripe支付处理流程,以更好地应对异步Webhook事件”,从而从根本层面解决了回调验证中的安全漏洞。
安全专家强烈建议所有NewAPI用户采取以下措施:
立即升级:将您的实例升级到最新的v0.12.10或更高版本(建议直接下载最新发布的版本或夜间构建版本)。
确保密钥配置正确:即使您的网站不打算使用Stripe支付功能,在升级后也必须在后端配置Stripe密钥。建议使用随机生成的强密码字符串,或者通过环境变量来严格控制密钥的设置,从而避免出现空密钥的情况。
进行计费自我审计:立即检查系统中现有的用户订单和充值记录(尤其是在测试环境中),将这些记录与实际收到的资金进行比对,排查是否存在任何欺诈性的高额充值行为。
加强支付认证机制:对于生产环境而言,建议仔细审查所有支付渠道的异步回调逻辑,确保签名有效性和订单状态真实性都得到双重验证。
由于这一漏洞的利用门槛相对较低,因此建议所有相关管理员立即采取自我检查和升级措施,以防止潜在的数字资产损失。
杭州市上城区推出了浙江省首个基于AIGC技术的视听产业“黄金十项措施”,并设立了50亿规模的产业发展基金。
16日,AIGC视听产业创新生态大会在杭州上城区举行。会议期间,该省推出了针对AIGC视听产业的的首项专项政策——“黄金十项措施”。这项政策涵盖了技术创新、成本降低、内容质量提升、人才培养以及全球发展等多个方面。这些政策提供了强有力的激励措施。对于技术创新领域,凡是专注于AIGC工具、AI虚拟拍摄和AI交互叙事系统的研究开发项目,均可获得最高300万元的补贴。而对于高质量的内容创作,那些在年内通过知名平台发布的AIGC视听作品,每部可获得最高30万元的奖励,每家企业的年度奖励总额上限为100万
北京工业大学就包括人工智能模型上下文协议在内的121项行业标准征求公众意见
中国工业和信息化部正式发布通知,征求公众对121项行业标准化的意见,其中包括“人工智能安全治理模型上下文协议的应用安全要求”。这一公告标志着中国在建立人工智能基础标准和安全监管框架方面取得了重要进展。此次公开征求意见的重点是针对该模型上下文协议的应用安全问题,旨在通过标准化的技术规范来解决多模态交互、长文本处理以及跨平台调用过程中出现的协议兼容性和数据安全方面的问题。
OpenAI与美国国防部合作,ChatGPT的卸载数量激增了295%
公众愤怒:OpenAI的军事合作引发“卸载潮”近日,人工智能领域的领头羊OpenAI宣布与美国国防部建立了深度合作关系,将其人工智能模型整合到高度机密的军事网络中。这一消息在美国引发了广泛的用户抗议,“抵制ChatGPT”运动势头日益强劲。根据市场分析机构Sensor Tower的数据,2026年2月28日——OpenAI正式宣布这一合作的当天——美国市场上ChatGPT移动应用的卸载率比前一天激增了295%,而此前该应用的平均每日卸载率约为9%。用户们对人工智能被用于军事目的表示强烈担忧,
探索2026年最适合游戏开发者的AI配音工具!XIX.AI精心整理的这份清单汇集了广受好评、能彻底改变游戏开发格局的解决方案,助您在角色扮演游戏(RPG)和视觉小说的配音制作中节省时间和成本。了解免费与付费版本的对比分析、实际测试结果以及每周更新的排行榜。立即找到最适合您的配音工具吧!
10 个工具
xix.ai
探索由 XIX.AI 精心挑选的 2026 年最佳 AI 间隔重复学习工具。我们推荐的这些极具创新性的工具能帮助医学和法律专业的学生优化学习计划,从而提高知识记忆效果。通过真实案例测试和每周更新的排名信息,你可以了解免费选项与付费选项之间的差异。现在就开启你的学习优势吧!
10 个工具
xix.ai
2026年最新最佳AI文字转视频平台:备受好评的剧本创作与视觉叙事工具。探索这些功能强大、颠覆传统的解决方案,将您的文字转化为引人入胜的视频。通过我们每周更新的排行榜和实际测试,对比免费与付费选项。找到最适合您的平台,激发创意,提升效率。立即访问XIX.AI,探索精心精选的优质平台。
10 个工具
xix.ai
2026最新资讯:探索最优秀的人工智能多智能体协调工具,通过自然语言设计复杂的自动化工作流程。我们精心挑选的列表中包含了评分最高、功能强大的平台,这些平台能够实现无缝的任务自动化和智能化的流程管理。对比免费与付费选项,并了解实际应用中的效果。借助XIX.AI每周更新的专家排名,让你在人工智能领域取得领先优势。
10 个工具
xix.ai
探索2026年最适合低光夜间摄影的AI降噪软件。我们精心挑选了最受欢迎的免费及付费工具,通过实际测试并每周更新排名来进行对比。轻松去除图像中的颗粒感与瑕疵,在XIX.AI上释放你的AI潜力。
10 个工具
xix.ai
在 XIX.AI 上探索 2026 年最佳定制 AI 女友生成器。浏览我们精心挑选的高评分清单,设计独一无二的个性、爱好和深入的背景故事。结合真实用户反馈,对比免费与付费选项。立即解锁您完美的创意伴侣。
10 个工具
xix.ai
