热门搜索:和平精英 原神 街篮2 

您的位置:首页 > > 教程攻略 > ai资讯 >开源AI接口系统NewAPI曝高危支付漏洞 未配置密钥可致“零成本”无限充值

开源AI接口系统NewAPI曝高危支付漏洞 未配置密钥可致“零成本”无限充值

来源:互联网 更新时间:2026-07-04 15:25

AIbase2026年4月16日报道

近日,开源社区和自建站长圈里广泛使用的AI大模型接口聚合管理系统

QuantumNous/new-api

(简称NewAPI),被证实存在一个高风险支付逻辑漏洞。简单来说,如果系统没有正确配置Stripe支付密钥,攻击者就能通过伪造Webhook事件,轻松绕过真实支付流程,实现“零成本”的任意金额充值。

目前,这个漏洞的攻击原理和防范措施,已经在各大开发者论坛及X(原Twitter)等技术社区引发了热烈讨论。考虑到这套系统多用于商业运营或代币计费场景,为了避免被恶意利用造成实际经济损失,发现者暂时没有公开完整的漏洞利用代码。

QQ_1776330512684.png

漏洞原理剖析

NewAPI是一款支持OpenAI、Claude等大模型接口中转、计费和充值的管理系统。这次曝光的漏洞,核心问题出在它的

支付成功回调逻辑上——当Webhook异步处理时,缺失了对空密钥的严格校验

根据技术社区流传的分析,当服务器端的Stripe webhook_secret没有配置(也就是空字符串)时,会引发一连串严重的信任危机:

  1. 签名机制形同虚设

    :HMAC-SHA256算法在处理空密钥时不会报错。这意味着,攻击者可以针对任意自定义的数据载荷,计算出与服务端验证逻辑完全一致的伪造签名。

  2. 恶意事件轻松构造

    :攻击者只需要获取或猜测到订单号的格式,就能伪造一个checkout.session.completed(支付完成)事件,并在数据包中自定义一个极高的amount_total(充值金额)。

  3. 资金“无中生有”

    :当这个伪造的请求被发送到服务端的Webhook端点后,服务端会用空密钥进行验签。由于验签会“通过”,系统便会误以为这是一笔真实的已支付订单,从而为攻击者账户完成充值。

最终结果就是

:Stripe官方后台的实际收款记录为0美元,也查不到任何相关交易,但服务端的日志却显示Webhook回调正常,攻击者的账户余额已经成功增加了。

漏洞影响范围

需要明确的是,该漏洞

仅影响那些未正确配置Stripe Secret Key的系统实例

。很多站长在搭建测试环境,或者站点主要依赖微信、支付宝等其他支付方式而闲置了Stripe模块时,很容易忽略配置这个密钥,从而落入风险区。

官方修复与应对建议

面对这个严重的安全隐患,项目官方反应相当迅速,已经在今天发布了最新的

v0.12.10

版本。更新日志里明确指出了修复方向:“Improved Stripe payment processing to better handle asynchronous webhook events”(改进Stripe支付处理以更好地处理异步Webhook事件),从底层堵上了回调校验的安全盲区。

安全专家对所有使用NewAPI的站长提出了以下几点强烈建议:

  • 立即升级版本

    :尽快将系统实例升级到最新的

    v0.12.10或更高版本

    (建议直接拉取最新的release或nightly版本)。

  • 强制配置密钥

    :即使你的站点不打算使用Stripe收款,升级后也务必在后台配置好Stripe Secret Key。建议填入随机生成的强密码字符串,或者通过环境变量进行严格控制,从根本上杜绝空密钥的存在。

  • 开展账单自查

    :立即审查系统现有的用户订单和充值记录(尤其是测试环境),对比实际到账资金,排查是否存在异常的虚假高额充值。

  • 完善支付鉴权

    :对于生产环境,建议全面检查所有支付渠道的异步回调逻辑,确保签名验证和订单状态都经过了双重有效性校验。

目前,该漏洞的原理已在互联网上公开。由于其实际利用门槛并不高,强烈建议所有相关站长立刻行动起来,进行自查与升级,以防数字资产遭受损失。

热门手游

手机号码测吉凶
本站所有软件,都由网友上传,如有侵犯你的版权,请发邮件haolingcc@hotmail.com 联系删除。 版权所有 Copyright@2012-2013 haoling.cc