كشفت أبحاث حديثة عن ثغرة أمنية محتملة تتعلق بمفاتيح واجهة برمجة التطبيقات (API keys) الخاصة بمنصة Google Cloud، حيث يمكن استغلال معرفات المشاريع المخصصة لأغراض الفوترة للمصادقة على نقاط نهاية Gemini الحساسة والوصول إلى بيانات خاصة. وقد تم اكتشاف ما يقرب من 3000 مفتاح API خاص بجوجل، تتميز بالبادئة “AIza”، مدمجة في كود مواقع الويب.
ووفقًا لباحثين أمنيين، يمكن لهذه المفاتيح، التي كانت مخصصة لخدمات مثل خرائط جوجل المضمنة، أن تُستخدم الآن للمصادقة على خدمات Gemini دون قصد. ويسمح ذلك للمهاجمين بالوصول إلى الملفات المحملة وبيانات التخزين المؤقت، بالإضافة إلى فرض رسوم استخدام نماذج اللغة الكبيرة (LLMs) على حساب المستخدم.
استغلال مفاتيح Google Cloud للوصول إلى Gemini
تنشأ هذه المشكلة عند تفعيل واجهة برمجة تطبيقات Gemini (API) ضمن مشروع Google Cloud. فبمجرد تفعيلها، تكتسب مفاتيح API الموجودة مسبقًا في هذا المشروع، بما في ذلك تلك الموجودة في أكواد JavaScript الخاصة بالمواقع، صلاحية الوصول إلى نقاط نهاية Gemini تلقائيًا. وهذا يحدث دون أي إشعار أو تحذير للمستخدم.
ويعني ذلك أن أي طرف قادر على استخراج مفاتيح API من مواقع الويب يمكنه إساءة استخدامها لأغراض ضارة. يمكن أن يشمل ذلك سرقة حصة استخدام موارد (quota theft)، والوصول غير المصرح به إلى الملفات عبر نقاط النهاية الخاصة بالملفات والمحتوى المخزن مؤقتًا، وتنفيذ استدعاءات لـ Gemini API، وما يترتب على ذلك من فواتير باهظة للمستخدمين الضحايا.
الإعدادات الافتراضية و”الصلاحيات غير المقيدة”
إضافة إلى ذلك، لاحظت الأبحاث أن إنشاء مفتاح API جديد في Google Cloud يمنحه بشكل افتراضي “صلاحيات غير مقيدة” (Unrestricted). وهذا يعني أن المفتاح يكون ساريًا لجميع واجهات API المفعلة في المشروع، بما في ذلك Gemini. وبالتالي، فإن آلاف مفاتيح API التي تم نشرها سابقًا كرموز بسيطة لأغراض الفوترة، أصبحت الآن تعمل كبيانات اعتماد حية لـ Gemini متاحة عبر الإنترنت العام.
وقبل نحو أسبوعين، كشف تقرير آخر صادر عن Quokka عن العثور على أكثر من 35 ألف مفتاح API فريد لجوجل مضمن في تطبيقات أندرويد تم فحصها، مما يعزز تصوير المشكلة على نطاق واسع.
من جانبها، أفادت جوجل بأنها على علم بهذا التقرير وتعاونت مع الباحثين لمعالجة المشكلة. وأكد متحدث باسم الشركة أنهم يعملون على حماية بيانات المستخدمين وأنهم طبقوا إجراءات استباقية لرصد وحظر مفاتيح API المسربة التي تحاول الوصول إلى Gemini API. ومع ذلك، لم يتضح بعد ما إذا كان قد تم استغلال هذه الثغرة الأمنية في الواقع.
ينصح المستخدمون الذين أعدوا مشاريع Google Cloud بمراجعة واجهات API والخدمات التي يستخدمونها. وينبغي عليهم التحقق مما إذا كانت واجهات API المتعلقة بالذكاء الاصطناعي (AI) مفعلة. وفي حال كانت كذلك ومتاحة للجمهور، يجب تدوير المفاتيح (rotate keys) فورًا.
يُنصح البدء بأقدم المفاتيح، لأنها الأكثر احتمالًا للانكشاف على الإنترنت تحت الإرشادات القديمة التي كانت تسمح بمشاركة مفاتيح API. ثم، عند تفعيل أحد أعضاء الفريق لواجهة Gemini API، تكتسب هذه المفاتيح صلاحيات إضافية. هذه الحالة تعد مثالًا حيًا على ديناميكية المخاطر وكيف يمكن منح صلاحيات مفرطة لواجهات API بأثر رجعي.
ويشير خبراء الأمن إلى أن اختبارات الأمان وعمليات المسح المستمرة للثغرات الأمنية ضرورية، خاصة مع واجهات API. فالتغييرات في عملها أو البيانات التي يمكن الوصول إليها لا تمثل دائمًا ثغرات، لكنها قد تزيد من المخاطر بشكل مباشر. ومع تزايد اعتماد الذكاء الاصطناعي على هذه الواجهات، تتسارع وتيرة تفاقم المشكلة.