Megváltozott API key kezelés
A Truffle Security blogja szerint a Google Cloud Platform API-kulcsok használata a Gemini generatív AI-szolgáltatással megváltoztatta a korábbi nem titkos státuszt bizonyos kulcsok számára. A Google több mint egy évtizeden át azt kommunikálta a fejlesztőknek, hogy a projekt API-kulcsai, így a Google Maps vagy Firebase API-kulcsok nem tekinthetők érzékeny titoknak és biztonságosan beágyazhatók kliens-oldali kódba. Ennek megfelelően széles körben használták őket HTML-ben vagy JavaScript-ben, mivel eredetileg csak projektazonosításra és számlázásra szolgáltak, nem pedig hitelesítésre.
A probléma akkor keletkezett, amikor a Gemini API-t engedélyezték egy Google Cloud projektben, a korábban biztonságosnak tekintett, nyilvános API-kulcs hirtelen hozzáférést szerzett a Gemini-szolgáltatáshoz, amelyek amelyek érzékeny adatokat kezelnek, például feltöltött fájlokat vagy gyorsítótár tartalmakat, és amelyek AI-lekérdezésekért díjat számítanak fel. Mindez figyelmeztetés vagy értesítés nélkül történik, ha egy publikus kulcsot egy projektben használnak, és utólag engedélyezik a Gemini-t, akkor az az API-kulcs automatikusan jogosult lesz Gemini-hívásokra is.
Ez egy privilegium emelésnek számít, egy kulcs, amelyet eredetileg nyilvános, ártalmatlan felhasználásra hoztak létre, most már érzékeny hitelesítő adatra vált, és ezt a fejlesztők nem feltétlenül vették észre, mivel a Google dokumentáció korábban egyértelműen jelezte, hogy ezek a kulcsok nem titkok.
Truffle Security kutatása során az interneten lévő több millió weboldal átvizsgálásával több mint 2 800 olyan érintett API-kulcsot találtak, amelyek publikus forráskódban szerepelnek, és amelyek bár eredetileg például térkép- vagy Firebase-kulcsként szolgáltak, már képesek lennének Gemini-API-hívásokat indítani, így akár érzékeny adatokhoz férhetnek hozzá vagy AI-lekéréseket futtathatnak a kulcs tulajdonosának számláján.
