كشف عن مفاتيح واجهة برمجة التطبيقات (API) الخاصة بجوجل في 22 تطبيقًا، مما سمح للمهاجمين بالوصول الحر إلى ذكاء جيمني الاصطناعي، مما أسفر عن خسائر تقدر بمئات الآلاف من الدولارات.
ثغرة خطيرة تهدد أمان مطوري Google: مفاتيح API المكشوفة تسمح للمهاجمين باستخدام Gemini AI بدون إذن
في عالم التكنولوجيا الحديث، تعتبر حماية البيانات والمصادقة من الأمور الأساسية التي لا يمكن التهاون فيها. لكن مؤخراً، كُشفت مشكلة أمنية خطيرة تتعلق بمفاتيح API الخاصة بـ Google، والتي تم تسريبها بشكل غير مقصود، مما سمح للمهاجمين بالوصول غير المصرح به إلى منصة Gemini AI واستخدامها بشكل مفرط، مسببة خسائر مالية فادحة للمطورين والشركات.
مشكلة المفاتيح العامة وتحولها إلى ثغرة أمنية
اكتشف خبراء الأمان من شركة CloudSek أن السبب الرئيسي لهذه الحوادث يعود إلى رفع المفاتيح العامة إلى مستوى يُمكن من خلالها استخدامها كمفاتيح تصديق فعلية لـ Gemini AI. العديد من المطورين كانوا يدمجون مفاتيح خدمات مثل خرائط Google أو Firebase في تطبيقاتهم العامة، استناداً إلى إرشادات Google الرسمية، دون توقع أن يتم استغلالها للوصول إلى البنية التحتية للذكاء الاصطناعي.
حالات حقيقية من الضرر المالي
- مطور فردي: تعرضت شركته الناشئة لأزمة بعد أن استخدم مهاجم مفتاحاً عاماً لشن هجمات على Gemini AI، مما أدى إلى تراكم فواتير تجاوزت 15,400 دولار خلال دقائق، على الرغم من أن المطور ألغى المفتاح فور تلقيه تنبيهاً عن الفاتورة، إلا أن التقرير تأخر في نظام Google Cloud.
- شركة يابانية: تكبدت خسائر بقيمة حوالي 128,000 دولار نتيجة للاستخدام غير المصرح به لواجهة برمجة التطبيقات الخاصة بـ Gemini، رغم وجود قيود على عناوين IP عبر الجدران النارية.
- فريق تطوير صغير في المكسيك: سجل ارتفاعاً في التكاليف بلغ 82,314 دولار خلال 48 ساعة فقط، وهو ارتفاع مذهل بنسبة 455 مرة عن الإنفاق المعتاد.
تأثير المشكلة على التطبيقات والمستخدمين
شملت التطبيقات المتضررة أسماء معروفة مثل تطبيق حجز فنادق OYO، Google Pay للأعمال، Taobao، وELSA Speak. وكشفت الأبحاث عن تعرض بيانات المستخدمين، حيث تمكن الباحثون من الوصول إلى ملفات صوتية مقدمة من المستخدمين عبر واجهة Gemini Files API، مما يتيح للمهاجمين إجراء استدعاءات غير محدودة لواجهات API، والوصول إلى بيانات حساسة، واستنزاف حصص المؤسسات.
التحديات والحلول
- عدم مسؤولية المطورين: قال تuhin Bose، الباحث في أمن المعلومات بشركة CloudSEK، إن المشكلة ليست نتيجة إهمال من المطورين، إذ كانت التطبيقات تتبع إرشادات Google بشكل صحيح، ولكن architecture النظام بشكل غير مقصود حول المعرفات غير الحساسة إلى رموز تصديق، مما أدى إلى ثغرة أمنية واسعة.
- إجراءات وقائية: يمكن تقليل المخاطر من خلال سحب المفاتيح المعرّضة وتقييد صلاحيات المشاريع، لكن الضرر المالي والتشغيلي لا يزال كبيراً، مما يستدعي إعادة تقييم فورية لممارسات إدارة مفاتيح API ودمج الذكاء الاصطناعي.
خلاصة وتحذيرات مستقبلية
يُبرز هذا الوضع المخاطر الكامنة في الافتراض الخاطئ بمرونة التوافق مع خدمات السحابة المدعومة بالذكاء الاصطناعي، ويؤكد على ضرورة تحديث استراتيجيات الأمان. إن المفاتيح المدمجة في التعليمات البرمجية غير المشفرة تمثل ثغرة خطيرة قد تؤدي إلى كارثة مالية وتقنية إذا لم يتم التعامل معها بشكل فوري وفعال.
تابع موقع TechRadar على Google News واحصل على آخر الأخبار والتقارير والتحليلات التي تحتاجها لنجاح أعمالك. لا تنسَ الضغط على زر المتابعة ليصلك كل جديد، ويمكنك أيضاً متابعة TechRadar على TikTok لمشاهدة الأخبار والتقييمات والفيديوهات الخاصة بنا، بالإضافة إلى تحديثات WhatsApp المنتظمة.
📌 هذا المقال تم إعادة تحريره باستخدام الذكاء الاصطناعي مع الحفاظ على المصدر الأصلي.