NewAPI存在严重漏洞,黑客可免费充值账户
安全警报:支付系统漏洞威胁AI服务
广泛使用的NewAPI平台存在一个危险漏洞,安全专家正紧急应对。这个用于管理AI模型接口的开源系统存在支付处理缺陷,可能让黑客无需花费一分钱即可向账户添加无限资金。
漏洞利用原理
问题出在NewAPI处理Stripe支付确认的方式。当管理员未设置Stripe验证密钥(这种情况比想象中更常见)时,系统会变得过度信任:
- 签名检查静默失败:系统的安全检查不会将空密钥标记为问题
- 伪造支付蒙混过关:攻击者可伪造支付确认,系统会误以为是真实交易
- 资金凭空增加:账户获得充值而Stripe记录显示零实际交易
"这就像一台会接受假币的自动售货机,"一位要求匿名的安全研究员解释道,"系统过于急切地提供服务,以至于不验证支付是否真实发生。"
受影响范围
这不仅是理论风险——任何存在以下情况的NewAPI安装都面临威胁:
- 使用Stripe支付但未正确配置
- 在跳过支付设置的测试环境中运行
- 主要依赖支付宝或微信支付等其他支付方式
修复方案
NewAPI团队迅速行动,发布0.12.10版本修补该安全漏洞。他们的更新"改进了Stripe支付处理"——技术术语的意思是"我们现在会真正检查支付是否真实"。
用户关键建议:
- 立即升级:必须使用0.12.10或更高版本
- 设置密钥:即使不使用Stripe也需正确配置
- 审计账目:检查系统日志中可疑的充值记录
- 双重验证:同时核对签名和实际交易状态
"这是那种修复简单但忽视会造成严重后果的漏洞,"网络安全分析师Mark Chen警告道,"漏洞利用细节已在网上流传,必须争分夺秒采取措施。"
要点总结
- 当Stripe密钥未设置时,NewAPI存在支付验证漏洞
- 攻击者可伪造支付确认获取免费账户资金
- 0.12.10版本已修复漏洞——请立即更新
- 所有用户都应配置Stripe密钥并审计交易日志
- 该漏洞凸显正确配置支付系统的重要性
