كشفت أبحاث أمنية حديثة عن ثغرة خطيرة في إدارة مفاتيح Google Cloud API، حيث تبين أن هذه المفاتيح، التي تُستخدم عادةً كمعرّفات للمشروعات لأغراض الفوترة، يمكن استغلالها للوصول إلى واجهات Gemini الحساسة والحصول على بيانات خاصة.
كيف ظهرت المشكلة؟
وفقاً لشركة Truffle Security، تم العثور على نحو 2,863 مفتاحاً عاماً من نوع “AIza” مضمنة في أكواد مواقع الويب لتقديم خدمات مثل الخرائط المدمجة. المشكلة تتفاقم عندما يقوم المستخدمون بتمكين واجهة Gemini API ضمن مشروعهم على Google Cloud، إذ تصبح المفاتيح القديمة قادرة فجأة على المصادقة والوصول إلى نقاط Gemini دون أي تحذير مسبق. هذا يعني أن أي مهاجم يمكنه استخراج المفاتيح من صفحات الإنترنت واستخدامها للوصول إلى ملفات مرفوعة أو بيانات مخزنة مؤقتاً، إضافة إلى إجراء طلبات على Gemini قد تُحمّل ضحاياها فواتير ضخمة.
مخاطر أمنية متزايدة
الباحث الأمني جو ليون أوضح أن هذه المفاتيح التي كانت مجرد رموز فوترة أصبحت الآن بمثابة بيانات اعتماد حية للوصول إلى Gemini. الأخطر أن إنشاء مفتاح جديد في Google Cloud يكون افتراضياً “غير مقيّد”، ما يجعله صالحاً لكل واجهة مفعلة في المشروع، بما فيها Gemini. هذا يفتح الباب أمام استغلال واسع النطاق، حيث يمكن للمهاجمين استخدام المفاتيح المسربة في عمليات سرقة الحصص أو الوصول إلى بيانات حساسة .
تقارير إضافية من شركات أمنية
لم تقتصر المشكلة على Truffle Security؛ فقد نشرت شركة Quokka تقريراً مماثلاً كشف عن أكثر من 35,000 مفتاح Google API مضمن في 250,000 تطبيق أندرويد. هذه المفاتيح قد تُستخدم في طلبات تلقائية إلى Gemini، ما يضاعف المخاطر المالية والأمنية. الشركة حذرت من أن دمج واجهات الذكاء الاصطناعي مع خدمات سحابية أخرى قد يوسع نطاق الضرر في حال اختراق المفتاح.
رد فعل جوجل والإجراءات المتخذة
جوجل أكدت أنها على علم بالمشكلة وتعاونت مع الباحثين لمعالجتها، مشيرة إلى أنها نفذت إجراءات استباقية لرصد وحجب المفاتيح المسربة التي تحاول الوصول إلى Gemini. ورغم ذلك، لا يزال من غير المعروف ما إذا تم استغلال هذه الثغرة على نطاق واسع. أحد المستخدمين ذكر في منشور على Reddit أنه تعرض لفاتورة بلغت أكثر من 82 ألف دولار خلال يومين فقط نتيجة سرقة مفتاح API من مشروعه.
توصيات للمنظمات والمطورين
الخبراء ينصحون المؤسسات بمراجعة إعدادات مشاريعها على Google Cloud، والتحقق من الواجهات المفعلة، خصوصاً تلك المتعلقة بالذكاء الاصطناعي. إذا كانت المفاتيح مكشوفة في أكواد عامة أو مستودعات مفتوحة، يجب تدويرها فوراً والبدء بالمفاتيح الأقدم التي غالباً ما تم نشرها وفق إرشادات قديمة تعتبر مشاركة المفاتيح آمنة.
كما شدد خبراء الأمن على أن المخاطر في عالم الـ APIs ديناميكية، إذ يمكن أن تتحول المفاتيح من مجرد معرّفات فوترة إلى بيانات اعتماد حساسة مع تغييرات لاحقة في الخدمات. لذلك، يجب أن تكون اختبارات الأمان والفحص المستمر جزءاً أساسياً من استراتيجية المؤسسات، مع التركيز على مراقبة السلوكيات غير الطبيعية وحجب النشاطات المشبوهة بشكل فوري.
