🚨 突发安全警报! 各位部署了 NewAPI 的站长请注意,近期该项目疑似爆发严重安全漏洞,切勿掉以轻心。

作为一个近年来在 AI 转售和 API 管理圈内颇为热门的项目,NewAPI 凭借其灵活的渠道管理和多模型支持,被很多技术玩家用来搭建自己的中转服务。但“树大招风”,安全漏洞的问题也随之而来。根据最新反馈,这次漏洞的影响范围极广,不仅涉及基础功能,还直接关系到平台的资产安全。

NewAPI 版本号对比图

请对照版本号自查是否在安全基线以上

⚡️ 漏洞影响与修复版本

此次爆出的漏洞被标记为“严重”级别,根据项目核心维护者的建议,所有受影响的用户必须立即进行版本升级。官方并未直接披露漏洞的具体利用细节(这也是为了防止未修复的站点被大规模攻击),但强调了修复的紧迫性。

安全警报图标

严重安全漏洞提示

你需要对照手边的版本号进行自查:

  • 开源版本(通常指 GitHub 源码部署版)
    • 最低兼容修复版v1.0.0-rc.18
    • 强烈推荐版本v1.0.0-rc.19
  • Horizon 版本(部分商业或特定分支)
    • 安全线>= 0.6.0-rc.6

如果你的版本号低于上述标准,请立刻停下手中的工作,优先处理安全更新。这不仅仅是一次常规的功能迭代,而是为了堵住可能导致资产流失的重大隐患。

💸 为什么这次要特别盯紧“余额”?

很多博主看到更新日志可能习惯性划走,但这次公告中有一个非常核心的提示:“此次修复与支付无关,将涉及到所有的用户,请更新后对异常增长的账户,余额进行复核,必要时处置。”

这句话里藏着关键信息:

  1. 异常增长:通常我们担心的是余额被偷,但如果是“异常增长”,极有可能存在利用漏洞通过非法手段篡改余额数据的可能性。这可能意味着攻击者通过构造特殊请求,凭空刷取了额度,或者绕过了计费逻辑。
  2. 资产复核:升级补丁只是第一步,升级完毕后,站长务必进入后台,调取近期的充值与消费日志。重点排查是否有“只增不减”或“凭空增加”的异常账户。一旦发现,建议立即冻结该用户并回滚异常数据。

🛠️ 站长实操指南:如何快速响应

面对突发安全事件,光转发消息是不够的,这里有一套简单的应急处置流程供大家参考:

  1. 全量备份:在执行任何升级操作前,务必备份当前的数据库和配置文件。万一升级不兼容,还能回滚。
  2. 执行更新
    • 如果你是 Docker 部署,直接 git pull 拉取最新镜像或代码,重新构建容器。
    • 如果你是源码部署, checkout 到上述建议的 Tag 版本,重新安装依赖并重启服务。
  3. 数据审计(最重要的一步)
    • 检查数据库中的 usersbalances 表,按余额变动时间倒序排列。
    • 关注那些余额突然暴涨、且没有对应支付记录的账户。
    • 检查 API 请求日志,看是否有异常高频的调用或非正常的模型访问路径。
  4. 加固策略:检查后台的“注册设置”,如果开启了公开注册,建议暂时关闭或开启严格的邮箱/人机验证,防止脚本批量撞库。

💡 总结与技术反思

NewAPI 虽然好用,但作为开源项目,其安全性依赖社区的快速响应和站长的运维意识。这次事件再次提醒我们:在涉及金钱和计费的系统上,版本绝对不能落后。 尤其是 RC(候选发布)版本,往往意味着正处于快速迭代期,既包含新特性也伴随新 bug,保持关注官方动态是必须的功课。

如果你还没升级,现在就去操作吧;如果你已经升级,别忘了去后台查查账单,别让“羊毛”被不明身份的人薅走了。

标签: none

AI Skills Smart Station on Nick Launches

评论已关闭