当前位置: 首页
业界动态
开源AI接口系统NewAPI曝高危漏洞 可实现零成本无限充值

开源AI接口系统NewAPI曝高危漏洞 可实现零成本无限充值

热心网友 时间:2026-04-22
转载

2026年4月16日:开源AI工具NewAPI曝高危支付漏洞,中小创业者需紧急排查

就在昨天,开源AI大模型接口聚合管理系统NewAPI(项目归属QuantumNous)被曝出一个高危支付逻辑漏洞。这事儿可不小,它直接动摇了这套流行系统的付费根基。简单来说,当管理员在Stripe支付模块上配置疏忽时,攻击者就能伪造支付成功的通知,轻松实现“零成本、任意金额”的账户充值。目前,漏洞的技术细节已经在技术社区传开,虽然完整的利用代码尚未公开,但相关提醒已经拉响:所有使用该系统的站点,必须尽快自查。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈

为什么这个漏洞影响面如此之广?

要理解其严重性,得先看看NewAPI的江湖地位。作为目前开源社区里最流行的AI大模型接口聚合管理系统,它支持OpenAI、Claude等近十种主流模型的接口中转、用户计费和自助充值。可以说,不少中小AI服务创业者和算力转租站长,都是靠着这套系统快速搭建起自己的付费业务,其用户遍布全球。

漏洞核心:被“默认信任”的支付回调

这次风险的核心,完全集中在Stripe支付的Webhook异步回调逻辑上。按照标准开发规范,系统本应使用Stripe提供的签名密钥,来严格验证每一个支付结果回调请求的真实性,防止伪造。但问题恰恰出在这里:当管理员忘记或错误配置这个密钥时,系统的代码并没有执行强制拦截,反而“默认信任”了所有传入的支付成功信息。

这意味着什么?攻击者只需要按照格式,精心构造一个假的支付成功回调请求发送给系统,就能完全绕过真实的银&行卡扣款流程。账户余额想加多少就加多少,从而实现真正的“零成本”无限调用大模型接口。值得庆幸的是,漏洞发现者目前只公开了攻击原理和修复建议,并未放出完整的利用代码,这在一定程度上避免了漏洞被大规模恶意利用。

远超信息泄露:直接击穿资金防线

这可不是普通的信息泄露漏洞。它直接命中了付费业务的命门——资金环节。要知道,NewAPI的运营者需要为用户消耗的AI调用量,向OpenAI等上游厂商支付真金白银。一旦漏洞被利用,攻击者“白嫖”的每一分钱算力成本,都将转嫁给毫不知情的站点运营者。在短时间内,积累起数万元甚至更高的欠费损失,绝非危言耸听。

那么,对于正在使用NewAPI且已接入Stripe支付的用户来说,当下最紧急的行动是什么?两步走:第一,立即检查后台Stripe的Webhook签名密钥是否已正确配置,没配的马上补上;第二,尽快拉取官方项目的最新代码更新,从逻辑层面彻底堵上这个校验缺口。

开源繁荣下的安全隐忧:给所有AI创业者的提醒

近年来大模型应用爆发式增长,像NewAPI这类优秀的开源工具,确实极大地降低了AI创业的技术门槛。但一个不容忽视的现实是,这类项目多由社区开发者用爱发电,普遍缺乏持续、专业的商业安全审计投入。类似的业务逻辑漏洞,其实并不少见。

这次NewAPI的高危漏洞,无疑给整个行业敲响了一记警钟。中小创业者在享受开源红利、快速搭建业务的同时,绝不能忽视最基础的安全配置和版本维护工作。毕竟,一个隐藏的漏洞,带来的可能是实实在在、不可逆转的经济损失。说到底,在数字世界的江湖里,安全,永远是那条不能松懈的底线。

来源:https://cxgn.cn/12852.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
Devin Review - AI代码审查工具,自动检查和标记代码问题

Devin Review - AI代码审查工具,自动检查和标记代码问题

Devin Review是什么 提起代码审查,你是否也遇到过这样的困扰:面对一个包含海量文件变更的GitHub拉取请求(PR),想快速理清头绪却不知从何下手?传统的代码差异视图,有时反倒让人更费解。 Devin Review正是为了解决这个痛点而生的。它不是另一个单纯的代码查看器,而是一个智能审查伙

时间:2026-04-22 20:36
Being-H0.5 - 卢宗青团队开源的通用机器人模型

Being-H0.5 - 卢宗青团队开源的通用机器人模型

Being-H0 5是什么 通用机器人如何跨越不同硬件的鸿沟,实现策略的自由迁移?卢宗青团队的Being-H0 5模型,正试图给出一个扎实的答案。这个模型的核心思路,是通过人类先验知识和对齐统一的动作,来解决机器人在不同形态硬件间的策略迁移难题。背后的关键,是一个大规模跨形态操控数据集UniHand

时间:2026-04-22 20:36
VibeVoice-ASR - 微软开源的长音频语音识别模型

VibeVoice-ASR - 微软开源的长音频语音识别模型

VibeVoice-ASR是什么 当你面对一段长达一小时的会议录音或讲座视频,想要把它转化为文字时,传统的语音识别工具常常会让人头疼——分段处理导致上下文断裂,说话人切换弄得一团糟。这时候,你就需要了解一下微软开源的VibeVoice-ASR了。 简单来说,这是一款为“长音频”而生的先进语音识别模型

时间:2026-04-22 20:36
AgentCPM-Report - 清华联合面壁智能等开源的写作智能体

AgentCPM-Report - 清华联合面壁智能等开源的写作智能体

AgentCPM-Report是什么 如果在深度调研和报告生成这事儿上,你既想要媲美顶级闭源系统的能力,又对数据安全和隐私有着近乎苛刻的要求,那么有个新工具值得你关注——AgentCPM-Report。这是由清华大学自然语言处理实验室、中国人民大学、面壁智能与 OpenBMB 开源社区联手打造的一款

时间:2026-04-22 20:36
Chroma 1.0 - FlashLabs开源的实时端到端语音对话模型

Chroma 1.0 - FlashLabs开源的实时端到端语音对话模型

Chroma 1 0是什么 说来有意思,最近语音AI领域的热闹,很大程度上是“延迟”和“音质”这两个老问题给逼出来的。用户要的不只是能对话,还得是即时、自然、带有“人味儿”的互动。这不,FlashLabs带来的开源模型Chroma 1 0,就是冲着这个目标来的。 简单说,它是一个实时端到端的语音对话

时间:2026-04-22 20:35
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜
热门教程
更多
  • 游戏攻略
  • 安卓教程
  • 苹果教程
  • 电脑教程