- تسمح مفاتيح Google API المكشوفة للمهاجمين بتشغيل طلبات Gemini AI غير المحدودة
- يواجه المطورون خسائر مالية فادحة بسبب الوصول غير المصرح به إلى البنية التحتية للذكاء الاصطناعي
- تعمل بيانات الاعتماد المشفرة على رفع المعرفات العامة إلى رموز مصادقة نشطة لـ Gemini AI
حذر الخبراء من أن المطورين يواجهون عواقب وخيمة حيث يتم استغلال مفاتيح Google API المكشوفة للوصول إلى Gemini AI دون تصريح، مما يؤدي إلى خسائر مالية كبيرة.
وجد باحثو الأمن من CloudSek أن السبب الجذري لهذه الحوادث يكمن في الارتقاء غير المقصود لمفاتيح واجهة برمجة التطبيقات (API) المتاحة للجمهور إلى بيانات اعتماد Gemini AI المباشرة.
قام العديد من المطورين بتضمين مفاتيح لخدمات مثل Maps أو Firebase منذ فترة طويلة في التطبيقات العامة، باتباع إرشادات Google الرسمية – ولم يتوقعوا مطلقًا أن تتمكن هذه المفاتيح من الوصول إلى البنية التحتية للذكاء الاصطناعي.
يستمر المقال أدناه
يعد رفع مفاتيح API المتاحة للجمهور هو السبب الجذري
تضمنت إحدى الحالات مطورًا منفردًا كاد أن ينهار بدء تشغيله بعد أن استخدم أحد المهاجمين مفتاحًا يمكن الوصول إليه بشكل عام لإغراق الذكاء الاصطناعي في Gemini بطلبات الاستدلال.
ألغى المطور المفتاح في غضون دقائق من تلقي تنبيه الفوترة، ولكن بسبب تأخر التقارير في نظام الفوترة في Google Cloud، وصلت الرسوم بالفعل إلى 15400 دولار.
وبالمثل، واجهت شركة يابانية ما يقرب من 128000 دولار أمريكي في استخدام Gemini API غير المصرح به، على الرغم من قيود IP على مستوى جدار الحماية.
بالإضافة إلى ذلك، شهد فريق تطوير صغير في المكسيك ارتفاعًا قدره 82,314 دولارًا أمريكيًا خلال 48 ساعة فقط، وهي زيادة هائلة تبلغ 455 مرة عن الإنفاق العادي.
قال توهين بوس، باحث الأمن السيبراني في CloudSEK: “لا تنبع هذه المشكلة من إهمال المطور؛ فقد كانت عمليات التنفيذ متوافقة مع إرشادات Google المقررة”.
وأوضح أن البنية حولت بشكل فعال المعرفات غير الحساسة إلى رموز مصادقة مميزة، مما أدى إلى إنشاء ثغرة أمنية نظامية عبر العديد من التطبيقات.
حددت أبحاث CloudSEK 32 مفتاحًا مكشوفًا لـ Google API عبر 22 تطبيق Android مع قاعدة تثبيت مجمعة تتجاوز 500 مليون مستخدم.
تتضمن التطبيقات المتأثرة أسماء عائلية مثل OYO Hotel Booking App وGoogle Pay for Business وTaobao وELSA Speak.
أكد الباحثون تعرض البيانات في ELSA Speak عندما وصلوا إلى الملفات الصوتية المقدمة من المستخدم عبر Gemini Files API.
تسمح الثغرة الأمنية للمهاجمين بإجراء مكالمات Gemini API غير محدودة، والوصول إلى بيانات المستخدم الحساسة، واستنفاد حصص API التنظيمية.
ويمكن أن يستمر أيضًا خلال دورات تحديث التطبيق، مما يؤثر بشدة على المطورين والمستخدمين النهائيين.
المطورون الذين اتبعوا إرشادات Google يحتفظون الآن دون قصد ببيانات اعتماد مباشرة لأدوات الذكاء الاصطناعي القوية دون إشعار أو مطالبات بالاشتراك.
يمكن للتدابير الفنية مثل إلغاء المفاتيح وتقييد أذونات المشروع أن تخفف من التعرض.
ومع ذلك، فإن التأثير المالي والتشغيلي على المطورين كبير، مما يشير إلى أن الممارسات الحالية للتعامل مع مفاتيح واجهة برمجة التطبيقات وتكاملات الذكاء الاصطناعي تتطلب إعادة تقييم فورية.
يوضح الكشف عن بيانات الاعتماد المشفرة المخاطر الكامنة في افتراض التوافق مع الإصدارات السابقة للخدمات السحابية الحديثة التي تدعم الذكاء الاصطناعي.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات