【血雨腥风】立刻!马上!去更新你的 one-api / new-api !!!

网络安全
, ,
1

one-api / new-api 设计不当导致泄露源站IP

在使用图片URL请求,不论模型,一律会泄露 one-api / new-api 部署服务器的源IP。
因为服务器会试图去获取图片信息,而且只是简单使用 http.Gethttp.Head,导致 100% 泄露源站IP。

这两天整个互联网都在被DDoS搅得天昏地暗,你懂服务器源IP泄露的后果吧?

解决方案是使用代理请求用户提供的图片地址

linux-do/new-api 已更新代理设置,速速更新!更新后可以设置成自己的代理,用以隐藏服务器IP地址:

image
image1162×950 79.3 KB

测试代码:

curl https://your-new-api-domain/v1/chat/completions \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer sk-xxxx" \
  -d '{
    "model": "gpt-3.5-turbo",
    "messages": [
      {
        "role": "user",
        "content": [
          {
            "type": "text",
            "text": "What'\''s in this image?"
          },
          {
            "type": "image_url",
            "image_url": {
              "url": "https://your-domain/test.jpg"
            }
          }
        ]
      }
    ],
    "max_tokens": 300
  }'

上面代码设置了一个 https://your-domain/test.jpg 图片地址,这个请求发送给API服务器,它会请求 https://your-domain/test.jpg 你就能看到它的真实IP了。

谁去看看奇奇的?
155 个赞
2

真吓人 血雨腥风

4 个赞
3

影响还是很大的

15 个赞
4

怪不得被找出源站IP了 :smiling_face_with_tear:

3 个赞
5

没有,我没有被这找到IP,不然 oaipro 早死了。

13 个赞
6

还得是始皇,一如既往的强 :star_struck:
image

8 个赞
7

管理人员网络安全

9

前排

3 个赞
10

先评论后看

2 个赞
11

前排

2 个赞
12

ok

2 个赞
13

拍大腿,来晚了

2 个赞
15

马上安排

3 个赞
16

把奇奇的扒出来

5 个赞
17

安排

3 个赞
18

前排

3 个赞
19

前排

3 个赞
20

快去试试

3 个赞
21

后排

3 个赞