紧急通告:NewAPI 现严重漏洞,站长请立刻升级并排查账单
🚨 突发安全警报! 各位部署了 NewAPI 的站长请注意,近期该项目疑似爆发严重安全漏洞,切勿掉以轻心。
作为一个近年来在 AI 转售和 API 管理圈内颇为热门的项目,NewAPI 凭借其灵活的渠道管理和多模型支持,被很多技术玩家用来搭建自己的中转服务。但“树大招风”,安全漏洞的问题也随之而来。根据最新反馈,这次漏洞的影响范围极广,不仅涉及基础功能,还直接关系到平台的资产安全。
请对照版本号自查是否在安全基线以上
⚡️ 漏洞影响与修复版本
此次爆出的漏洞被标记为“严重”级别,根据项目核心维护者的建议,所有受影响的用户必须立即进行版本升级。官方并未直接披露漏洞的具体利用细节(这也是为了防止未修复的站点被大规模攻击),但强调了修复的紧迫性。
严重安全漏洞提示
你需要对照手边的版本号进行自查:
- 开源版本(通常指 GitHub 源码部署版):
- 最低兼容修复版:
v1.0.0-rc.18 - 强烈推荐版本:
v1.0.0-rc.19
- 最低兼容修复版:
- Horizon 版本(部分商业或特定分支):
- 安全线:
>= 0.6.0-rc.6
- 安全线:
如果你的版本号低于上述标准,请立刻停下手中的工作,优先处理安全更新。这不仅仅是一次常规的功能迭代,而是为了堵住可能导致资产流失的重大隐患。
💸 为什么这次要特别盯紧“余额”?
很多博主看到更新日志可能习惯性划走,但这次公告中有一个非常核心的提示:“此次修复与支付无关,将涉及到所有的用户,请更新后对异常增长的账户,余额进行复核,必要时处置。”
这句话里藏着关键信息:
- 异常增长:通常我们担心的是余额被偷,但如果是“异常增长”,极有可能存在利用漏洞通过非法手段篡改余额数据的可能性。这可能意味着攻击者通过构造特殊请求,凭空刷取了额度,或者绕过了计费逻辑。
- 资产复核:升级补丁只是第一步,升级完毕后,站长务必进入后台,调取近期的充值与消费日志。重点排查是否有“只增不减”或“凭空增加”的异常账户。一旦发现,建议立即冻结该用户并回滚异常数据。
🛠️ 站长实操指南:如何快速响应
面对突发安全事件,光转发消息是不够的,这里有一套简单的应急处置流程供大家参考:
- 全量备份:在执行任何升级操作前,务必备份当前的数据库和配置文件。万一升级不兼容,还能回滚。
- 执行更新:
- 如果你是 Docker 部署,直接
git pull拉取最新镜像或代码,重新构建容器。 - 如果你是源码部署, checkout 到上述建议的 Tag 版本,重新安装依赖并重启服务。
- 如果你是 Docker 部署,直接
- 数据审计(最重要的一步):
- 检查数据库中的
users或balances表,按余额变动时间倒序排列。 - 关注那些余额突然暴涨、且没有对应支付记录的账户。
- 检查 API 请求日志,看是否有异常高频的调用或非正常的模型访问路径。
- 检查数据库中的
- 加固策略:检查后台的“注册设置”,如果开启了公开注册,建议暂时关闭或开启严格的邮箱/人机验证,防止脚本批量撞库。
💡 总结与技术反思
NewAPI 虽然好用,但作为开源项目,其安全性依赖社区的快速响应和站长的运维意识。这次事件再次提醒我们:在涉及金钱和计费的系统上,版本绝对不能落后。 尤其是 RC(候选发布)版本,往往意味着正处于快速迭代期,既包含新特性也伴随新 bug,保持关注官方动态是必须的功课。
如果你还没升级,现在就去操作吧;如果你已经升级,别忘了去后台查查账单,别让“羊毛”被不明身份的人薅走了。

评论已关闭