كشف تسرب مفاتيح واجهة برمجة تطبيقات (API) الخاصة بجوجل عن ثغرة خطيرة تسمح للمهاجمين بتنفيذ استعلامات غير محدودة على نظام Gemini للذكاء الاصطناعي، مما يعرض المطورين لخسائر مالية فادحة. فقد تبين أن المشكلة تكمن في رفع مستوى مفاتيح API العامة إلى هويات مصادقة فعالة، وهو ما أدى إلى استغلالها في الوصول غير المصرح به إلى بنية نظام جيمي، وفقًا لمحققين أمنيين من شركة CloudSek.
### أسباب الثغرة وتأثيرها على المطورين
كان العديد من المطورين يتبعون إرشادات جوجل باستخدام مفاتيح API لمنتجات مثل خرائط جوجل وفايربيس في تطبيقاتهم العامة، دون توقع أن يتمكن أحد من استخدامها للوصول إلى بنية الذكاء الاصطناعي. لكن الأمر انتهى إلى أن هذه المفاتيح أصبحت بمثابة توكنات مصادقة نشطة، مما سمح للمهاجمين باستغلالها بشكل غير قانوني.
### حالات واقعية تكشف حجم المشكلة
إحدى الحالات كانت لمطور مستقل، حيث كادت شركته الناشئة أن تنهار بعد أن استغل مهاجم مفتاح API عامًا لإرسال آلاف الطلبات إلى نظام Gemini AI، مما أدى إلى استهلاك مئات الآلاف من الدولارات خلال ساعات قليلة. وعلى الفور، قام المطور بإلغاء المفتاح بعد تلقيه تنبيهات من خدمة الفوترة، لكن الفواتير كانت قد بلغت 15,400 دولار قبل أن يتخذ إجراءً.
وفي حالة أخرى، استُخدم مفتاح API في شركة يابانية بمبالغ تقارب 128 ألف دولار، رغم وجود قيود على عناوين IP في جدرانها النارية. أما فريق تطوير صغير في المكسيك، فقد شهد زيادة في تكاليف الاستخدام بمقدار 82,314 دولارًا خلال 48 ساعة فقط، وهو ارتفاع مذهل بنسبة 455 مرة عن المعدلات الطبيعية.
### التحديات التقنية والضوابط
أكد الباحثون أن المشكلة لا تعود إلى سوء نية المطورين، حيث أن تطبيقاتهم كانت تتبع إرشادات جوجل بشكل صحيح. ومع ذلك، فإن تصميم النظام حول تحويل معرفات غير حساسة إلى توكنات مصادقة أدى إلى إنشاء ثغرات أمنية واسعة النطاق. وتبين أن 32 مفتاح API مكشوفًا عبر 22 تطبيقًا أندرويد يستخدم أكثر من نصف مليار مستخدم حول العالم، بما يشمل تطبيقات معروفة مثل تطبيق حجز الفنادق OYO، وGoogle Pay للأعمال، وTaobao، وELSA Speak.
### تهديدات أمنية واحتياطات ضرورية
اكتشف الباحثون أن ثغرة أمنية في تطبيق ELSA Speak سمحت بالوصول إلى ملفات صوتية للمستخدمين عبر واجهة برمجة التطبيقات الخاصة بـ Gemini Files، مما يعرض بيانات المستخدمين للخطر ويتيح للمهاجمين تنفيذ استدعاءات غير محدودة على واجهة Gemini، واستنزاف حصص API الخاصة بالمؤسسات. كما أن الثغرة تظل فعالة حتى بعد تحديث التطبيقات، مما يفاقم الضرر على المطورين والمستخدمين النهائيين.
### الحاجة إلى إعادة تقييم الممارسات الأمنية
على الرغم من أن المطورين الذين اتبعوا إرشادات جوجل لم يكن لديهم نية لإحداث ثغرة، إلا أن تصميم الأنظمة أدى إلى تحويل هويات غير حساسة إلى مفاتيح وصول فعالة، مما يعرض أنظمتهم لمخاطر جسيمة. يمكن تقليل هذا الخطر عبر سحب المفاتيح وإعادة تقييد صلاحيات المشاريع، إلا أن الأثر المالي والتشغيلي يظل كبيرًا، مما يدعو إلى مراجعة فورية لممارسات إدارة المفاتيح والتكامل مع أنظمة الذكاء الاصطناعي.
### خاتمة
تسلط هذه القضية الضوء على المخاطر المرتبطة باستخدام المفاتيح الثابتة في بيئات سحابية تعتمد على خدمات الذكاء الاصطناعي، وتؤكد على أهمية تبني استراتيجيات أمان أكثر مرونة وواقعية لمواجهة التحديات المستقبلية. من الضروري أن يولي المطورون والمنظمات اهتمامًا أكبر لطرق حماية مفاتيح API، وتحديث السياسات الأمنية لضمان عدم تكرار مثل هذه الثغرات الخطيرة.