你的NewAPI可能不安全

由来

前几天刷到一个帖子, NewAPI作者增加了一个中转链路检测功能, 很好奇这个功能的原理, 但是懒得部署就没搞. 今天又刷到一个帖子,说可以在线测试你的中转站被代理了多少次.

那我不得不看看我的官key有没有被中转(bushi

解决方案

查完发现我的服务器ip泄露了!
搜了一下原来是newapi出的问题, 虽然也有解决方案, 就是通过cloudflare workers代理图片请求. 但是我觉得一个中转程序需要去请求post参数图片url 这多少让人觉得奇怪.

    00:00:00 Go-http-client/2.0 xx.***.***.xx, xx.***.***.xx,
    00:00:00 Go-http-client/2.0 xx.***.***.xx, xx.***.***.xx,
    00:00:00 OpenAIOpenAI Image Downloader xx.***.***.xx, xx.***.***.xx, 


有意思的拓展

知道了原理那么一切就好办了.

我看到有很多人去查询自己用的中转api到底被中转了多少次, 很自然的就分析了一波.

是否可以伪装中转检测为官key? 答案是可以的

如下图所示, 这是伪装成功的请求, 那么可以得出你查到的中转次数大概率是真的, 但是是否为官key这个结果不一定

如果你对伪装key感兴趣, 可以用图片中接口去测试, apikey随意输入.

最后投票

需要如上图这个检测中转次数功能的可以点赞该帖子, 达到200赞公布源码!

73 Likes

佬友里面大佬多,厉害。

2 Likes

post的原因是为了计算图片的tokens,如果不去请求,光图片可以被跑到耗完toekns

4 Likes

我怎么记得好像始皇很久之前发过类似的提醒

3 Likes

技术贴,点赞支持

1 Like

原来如此, 但是我觉得这件事也可以由前端来做

哪个是泄漏本机的ip吧,哪个算比较严重了吧 :joy:

看来得需要返回一下接口响应了,哈哈

3 Likes
3 Likes

这个只要统计次数就能知道有多少中转,和最后的源头地址就够了

你难道可以使用 openai 的 ip 吗?

1 Like

我是ip泄露后搜了一下才知道这个信息, 部署时在设置里也看到这个worker代理, 当时不明白其功能性就没搞, 我觉得项目作者有必要在那里增加一些提醒

太吓人了

newapi可以保证自己不露,但不能保证源头不漏吧 :tieba_095:,这下检验就没那么难了

我没有那个ip啊, 用的云函数

其实也有对策, 针对这个特性修改一下源码就可以

已经有开源的了,这个功能只能防君子

2 Likes

理论上只有吧,图片转码,这样一定有鬼啊

是的,解决方法挺多的很难真正判断

还有其他方法也可以实现