AIbase消息,开源AI接口管理系统QuantumNous/new-api(简称NewAPI)近日被曝存在高风险支付漏洞。当系统未正确配置Stripe支付密钥时,攻击者可伪造Webhook事件绕过支付验证,实现零成本充值。该系统广泛用于AI大模型的接口聚合及计费管理,漏洞源于Webhook异步回调逻辑对空密钥缺乏校验,致使服务端可误认为伪造事件为真实交易。目前问题已在技术社区引发关注,官方已发布v0.12.10版本修复该漏洞,强化异步事件校验机制。安全专家建议所有使用NewAPI的站点立即升级至最新版本,并强制配置Stripe Secret Key以防被恶意利用,同时审查历史订单、防止虚假充值。
