开源AI接口系统NewAPI曝高危漏洞 可实现零成本无限充值

2026年4月16日，开源AI大模型接口聚合管理系统NewAPI（项目归属QuantumNous）被曝出高危支付逻辑漏洞。该漏洞出现在Stripe支付模块中，当管理员未正确配置支付密钥时，攻击者可伪造Webhook回调事件绕过支付验证，实现零成本任意金额充值。目前漏洞细节已在公开技术社区引发讨论，暂未公布完整可利用代码，提醒相关站点尽快排查配置。

NewAPI是目前开源社区最流行的AI大模型接口聚合管理系统，支持OpenAI、Claude等近十种主流大模型接口的中转分发、用户分级计费和自助充值，不少中小AI服务创业者、算力转租站长都基于这套系统搭建付费业务，用户覆盖全球多个地区的AI创业者。

本次漏洞的核心风险出现在Stripe支付的Webhook异步回调逻辑中。按照开发规范，NewAPI需要依赖Stripe提供的签名密钥验证回调请求的真实性，避免伪造。但当管理员未正确配置该密钥时，系统代码没有设置强制拦截逻辑，反而默认信任了传入的支付结果。攻击者只要构造符合格式的伪造回调请求，就能完全绕过真实支付流程，给账户充值任意金额，实现“零成本”无限调用大模型接口。目前漏洞发现者仅公开了攻击逻辑和修复方向，暂未公布完整的漏洞利用代码，避免被不法分子批量利用。