Google API ачкычтары сыр болгон эмес, бирок кийин Gemini эрежелерди өзгөрттү | Mewayz Blog Skip to main content
Hacker News

Google API ачкычтары сыр болгон эмес, бирок кийин Gemini эрежелерди өзгөрттү

Комментарийлер

2 min read Via trufflesecurity.com

Mewayz Team

Editorial Team

Hacker News

"Дизайн боюнча коомдук" коопсуздук жоопкерчилигине айланганда

Жыйырма жылга жакын убакыттан бери Google'дун экосистемасынын негизинде иштеп чыгуучулар тымызын, бирок маанилүү сабак алышты: Google API ачкычтары чындыгында сыр эмес. Эгер сиз YouTube Data API ачкычын JavaScript файлына кыстарсаңыз, Google кооптонгон эмес. Эгер Карталардын API ачкычыңыз жалпыга ачык GitHub репозиторийинде көрүнсө, коопсуздук жообу негизинен ийинин куушуруу жана домен чектөөлөрүн коюу үчүн эскертүү болду. Модель толугу менен бул ачкычтар DevTools программасын ачкан ар бир адам үчүн кардар тараптын кодунда жашайт деген божомолдун тегерегинде курулган.

Бул философия узак убакыт бою мааниге ээ болгон. Домен чектөөлөрү жок ачылган Maps API ачкычы күтүлбөгөн эсепти көтөрүшү мүмкүн, бирок ал пациенттин жазууларын бузуп же банк эсебин жарактан чыгарбайт. Жардыруу радиусу каржылык жана башкара турган болгон. Google'дун шаймандары — шилтеме берүүчү чектөөлөр, IP ак тизмеси, квота чектөөлөрү — зыяндын алдын алуу үчүн эмес, зыянды камтуу үчүн иштелип чыккан.

Андан кийин Gemini келип, эрежелер өзгөрдү. Көйгөй миллиондогон иштеп чыгуучулар эскертүүнү ала электигинде.

Азыр иштеп чыгуучуларды күйгүзүп жаткан эски психикалык модель

Эски Google иштеп чыгуучу тажрыйбасы атайылап уруксат берген. Карталардын JavaScript API ачкычын түзгөнүңүздө, документация иш жүзүндө аны түз HTML'иңизге таштоого үндөдү. Коопсуздук модели жашыруун болгон эмес - бул чектөө болгон. Домениңиздин ачкычын бекитип, квота эскертүүлөрүн коюп, андан ары улантмаксыз. Бул прагматикалык инженерия болгон: кардар тараптагы тиркемелер чындап эле чечкиндүү колдонуучулардан сыр сактай албайт, ошондуктан Google бул чындыкты моюнга алган системаны курду.

Бул иштеп чыгуучулардын муунун жана андан да маанилүүсү, институционалдык адаттардын муунун түздү, мында Google API ачкычтары, айталы, Stripe жашыруун ачкычына же AWS мүмкүндүк алуу тастыктамасына караганда башка психикалык категорияны ээлеген. Stripe сыр ачкычыңызды жалпыга ачык репого чаптабайт элеңиз. Бирок Карталар ачкычыңыз? Бул сыр эмес, иш жүзүндө конфигурация мааниси болгон. Көптөгөн командалар аларды жалпыга ачык конфигурация файлдарында, README файлдарында, атүгүл NEXT_PUBLIC_ же REACT_APP_ префикстери бар кардар тараптын өзгөрмөлөрүндө эч ойлонбостон сакташкан.

Коопсуздук боюнча изилдөөчүлөр GitHub-ды ачыкка чыккан эсептик дайындар үчүн сканерлеп, Google API ачкычтарына да башкача мамиле кылууну үйрөнүштү. Ачыкка чыгып кеткен Карталардын ачкычы азыраак деңгээлдеги табылга болду. Ашып кеткен Gemini ачкычы - бул таптакыр башка сүйлөшүү.

Эгиздер менен эмне өзгөрдү - жана бул эмне үчүн маанилүү

Google'дун Gemini API'си эски окуу китебине ылайык келбейт. Google AI Studio аркылуу Gemini API ачкычын түзгөнүңүздө, сиз Карталар же YouTube ачкычтарына караганда түп-тамырынан айырмаланган тобокел профили менен ишеним грамотасын түзүп жатасыз. Gemini ачкычтары чоң тил моделине кирүү мүмкүнчүлүгүн ырастайт — бул кызмат Google'дун реалдуу эсептөө ресурстарын талап кылган жана сизди беттин көрүнүшү менен эмес, белги боюнча эсептейт.

Тагыраак айтканда, Gemini API ачкычтарында башка Google ачкычтарын ачыкка чыгарууну мүмкүн кылган доменди чектөө механизмдери жок. Ачкычыңызды жалпыга ачык репозиторийден тапкан чабуулчуга башка өлкөнүн серверинен өзүнүн тиркемесин иштетип, сиздин квотаны же сиздин эсеп коюу чегиңизди керектөөсүнө жол бербөөчү жөнөкөй "муну менин веб-сайтымдын доменине кулпулоо" башкаруусу жок.

Кооптуулук жөн гана каржылык эмес. Ачык Gemini ачкычы зыяндуу мазмунду жаратуу, ыкчам инъекциялык чабуулдарды жасоо же Google'дун тейлөө шарттарын бузган куралдарды куруу үчүн колдонулушу мүмкүн — бардыгы аккаунтуңузга төлөнөт жана өзүңүздүн инсандыгыңызга көз салса болот.

2024-жылы коопсуздук изилдөөчүлөрү GitHubда гана миңдеген ачыкка чыккан Gemini API ачкычтарын аныкташты, алардын көбү мурда башка Google API ачкычтарын эч кандай окуясыз жайгаштырган репозиторийлерде. Иштеп чыгуучулар өздөрүнүн тарыхый стандарттарына көңүл бурушкан жок — алар Google өзү аларды колдонууга үйрөткөн психикалык моделди колдонушкан. Адаттарга караганда айлана-чөйрө тезирээк өзгөрдү.

Кокустуктун анатомиясы

Бул таасирлердин кандайча болуп жатканын түшүнүү - алардын алдын алуунун биринчи кадамы. Мүчүлүштүктөр режимдери бардык өлчөмдөгү командаларда укмуштуудай шайкеш келет:

  • Айлана-чөйрөнүн өзгөрмөлөрүнүн туура эмес классификациясы: Иштеп чыгуучулар Google Карталар ачкычтарына Gemini ачкычтарын NEXT_PUBLIC_ же VITE_ менен префикс кылып, аларды кардар тараптын топтом кодунда заматта ачып коюшкан.
  • Репозиторий таржымалынын булганышы: Ачкыч конфигурация файлына кошулуп, аткарылып, андан соң алынып салынат — бирок гит тарыхы чексиз издөөгө болот. Чабуулчулар бул тарыхты казуу үчүн атайын truffleHog жана gitleaks сыяктуу куралдарды колдонушат.
  • Блокноттун жана прототиптин агып кетиши: Jupyter дептерлеринде Gemini интеграциясынын прототиптерин түзгөн маалымат илимпоздору ал блокнотторду GitHub'ка ачкычтары клетканын чыгууларына кыстарылган.
  • CI/CD туура эмес конфигурациясы: Репозиторий сырлары катары сакталган ачкычтар GitHub Actions же ушуга окшош платформаларда жалпыга ачык көрүнүп турган куруу журналдарында кокусунан жаңырык алышат.
  • Үчүнчү тараптын кызматтарынын кеңейиши: Иштеп чыгуучулар ачкычтарды аналитика панелдерине, кодсуз куралдарга же интеграциялык платформаларга ошол платформалардын коопсуздук абалын карап койбостон чапташат.
  • Командалык байланыш каналдары: Slack, Discord же электрондук почта аркылуу бөлүшүлгөн ачкычтар айлануу графигинен ашып түшкөн издөөгө боло турган билдирүү таржымалына кирет.

Жалпы тема шалаакылык эмес, бул контексттин кыйрашы. Бир контекстте коопсуз болгон жүрүм-турумдар (Google Карталарды иштеп чыгуу) башка контекстте кооптуу (Gemini иштеп чыгуу) жана эсептик дайындардын визуалдык окшоштугу айырманы оңой эле байкабай коюуга мүмкүндүк берет.

Сырларды башкаруунун масштабдуу маданиятын түзүү

Gemini кырдаалы - көптөгөн өнүктүрүү топтору кийинкиге калтырып келген нерсе үчүн пайдалуу мажбурлоо функциясы: атайын ыкмаларга караганда, чыныгы сырларды башкаруу инфраструктурасын куруу. Кичинекей командалар үчүн бул ашыкча инженердик сыяктуу сезилиши мүмкүн, бирок эсептик маалыматтардын ачыкка чыгышынын баасы — эсеп-кысапты алдамчылык, эсепти убактылуу токтотуу, маалыматтын бузулушу тууралуу эскертмелер — бул туура иш кылуу аракетинен бир топ ашып кетет.

Заманбап сырларды башкаруу баскычтуу ыкманы колдонот. Инфраструктура деңгээлинде HashiCorp Vault, AWS Secrets Manager же Google Secret Manager сыяктуу куралдар автоматтык айлантуу мүмкүнчүлүктөрү менен борборлоштурулган, текшерилүүчү эсептик маалымат сактагычты камсыз кылат. Бул ири ишканалар үчүн гана эмес — Doppler жана Infisical сыяктуу кызматтар эки же үч иштеп чыгуучунун командаларына бирдей үлгүлөрдү жеткиликтүү баада алып келет.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Код деңгээлинде тартип жөнөкөйлөштүрүлөт: эсептик маалыматтар эч качан булак кодуна тийбейт. Толук аялдама. Комментарийленген саптарда эмес, мисал файлдарында эмес, жасалма көрүнгөн баалуулуктар реалдуу болуп чыккан сыноо шаймандарында эмес. detect-secrets же gitleaks сыяктуу куралдарды иштеткен илгичтерди алдын ала аткарыңыз, алар алыскы репозиторийлерге жеткенге чейин бузууларды кармайт. Бул илгичтерди конфигурациялоо бир нече мүнөттү талап кылат, ал эми инцидентке жооп кайтаруу үчүн тынчсыздануу көп жылдарды талап кылат.

Татаал оперативдүү стектерди иштеткен уюмдар үчүн — CRM иш агымдарынан баштап, эмгек акынын интеграциясына чейин, кардар үчүн брондоо тутумдарына чейин баарын башкаруу — борборлоштурулган эсептик маалыматты башкаруу ого бетер маанилүү болуп калат. 207 бизнес модулдарын бирдиктүү оперативдүү кол чатырдын астына бириктиргенMewayzсыяктуу платформалар ушул принцип менен курулган: ишеним грамоталары жана API интеграциялары жеке модулдар же жеке иштеп чыгуучулардын чөйрөлөрүндө чачыранды эмес, платформа деңгээлинде башкарылат. Ачкычты айландыруу керек болгондо, ал он жети башка интеграциялоо чекиттеринде эмес, бир жерде бир жолу болот.

Эсептөө чабуулунун вектору: Коркунучтун модели Иштеп чыгуучулар баалабайт

Коопсуздук талкуулары көбүнчө маалыматтын бузулушуна жана уруксатсыз кирүүгө багытталган. Gemini таасири көйгөйү бирдей көңүл бурууга татыктуу үчүнчү коркунуч моделин кошот: масштабдуу эсеп боюнча алдамчылык.

Чоң тил моделинин жыйынтыгы кымбат. GPT-4 жана Gemini Ultra токендерин ар бири бир центтен бөлөт, бирок масштабда - миңдеген суроо-талаптар, миллиондогон токендер - бул фракциялар миңдеген долларга чейин тез арада кошулат. Ачык AI API ачкычтарын тапкан чабуулчулар сиздин дайындарыңызды талап кылбайт. Алар акысыз эсептөөнү каалашат. Алар сиздин эсептик дайындарыңызды өздөрүнүн AI кызматтарын иштетүү, жыйынтык чыгаруу мүмкүнчүлүктөрүн кайра сатуу же колдонмолорун стресс-тестирлөө үчүн колдонушат — бардыгын эсеп сизге түшкөндө.

Бир иштеп чыгуучу алты саатка жетпеген убакыт бою коомдук репозиторийде ачыкка чыккан Gemini ачкычынан 23 000 долларлык купюра ойгонгондугун документтештирген. Чабуулчу эксплуатацияны дароо автоматташтырды жана Google алдамчылыкты аныктаганга чейин тынымсыз жогорку өндүрүмдүүлүктөгү генерация тапшырмаларын аткарып турду. Узакка созулган талаш процессинен кийин иштеп чыгуучу акыларды кайтарып алды, бирок ошол мезгилде аккаунт убактылуу токтотулуп, өндүрүш кызматтары өчүрүлгөн.

Ошондуктан эсеп-кысап эскертүүлөрү жана квота чектөөлөрү сырларды туура башкарууну алмаштыра албайт — алар сизге эч качан керек болбой турган акыркы коргонуу линиясы. AI API эсептерине ай сайын сарпталуучу чектөөлөрдү коюу азыр эң маанилүү нерсе, бирок чыныгы коргоо бул эсептик дайындардын биринчи кезекте эч качан агып кетпешин камсыз кылууда.

Өткөөлдү жасаган командалар үчүн практикалык кадамдар

Эгер сиздин командаңыз Google API интеграциясын эски менталдык моделдин алкагында куруп жатса жана азыр стекке Gemini кошуп жатса, бул жерде реалдуу оңдоонун текшерүү тизмеси:

<ол>
  • Учурдагы репозиторийлерди дароо текшериңиз. Учурдагы HEAD гана эмес, толук гит таржымалыңызга каршы truffleHog же gitleaks иштетиңиз. Өзгөчө мурун Google API ачкычын колдонгон репозиторийлерге көңүл буруңуз.
  • Бардык ачык ачкычтарды айлантыңыз. Эгер Gemini ачкычы качандыр бир убакта милдеттенмеде пайда болсо, анда ал бузулган деп ойлоңуз. Аны жокко чыгарып, жаңысын түзүңүз. Кимдир бирөө аны "чындыгында" таптыбы же жокпу, баалоого аракет кылбаңыз.
  • Алдын ала текшерүүнү ишке ашырыңыз. Жашыруун аныктоо илгичтерин ар бир иштеп чыгуучунун машинасына жана CI/CD түтүктөрүнө айланып өтүүгө болбой турган дарбаза катары орнотуңуз.
  • Негизги инвентаризацияны түзүңүз. Кайсы кызматтардын кайсы эсептик дайындары бар экенин, аларга ким таандык экенин, акыркы жолу качан ротацияланганын жана кайда колдонулганын билип алыңыз. Электрондук жадыбал жакшы башталгыч чекит болуп саналат; сырлар менеджери көздөгөн жер.
  • Эсеп коюу эскертүүлөрүн жана катаал чектөөлөрдү коюңуз. Ар бир AI API каттоо эсебинде ай сайын күтүлгөн чыгымыңыздын 50% жана 80% деңгээлинде эскертүүлөрдү конфигурациялаңыз жана катастрофалык эсеп коюу окуяларынын алдын ала турган катуу чектөөлөрдү коюңуз.
  • Жаңы менталдык моделди ачык документтештириңиз. Gemini API ачкычтары төлөм процессорунун сырлары менен бирдей мамилени талап кылган жогорку сезгичтүү эсептик дайындар экенин ачык айтуу үчүн командаңыздын иштөө материалдарын жана инженердик колдонмосун жаңыртыңыз.

    • Платформага көз каранды бизнес үчүн кененирээк сабак

    Gemini кырдаалы үчүнчү тараптын платформалары менен терең интеграцияланган ар кандай бизнеске таасир эткен үлгүнү көрсөтөт: платформалар өнүгүп, коопсуздук абалына талаптар да алар менен бирге өнүгүп жатат, бирок ал платформаларды колдонгон командалардын институционалдык адаттары көбүнчө темпти сактай албайт. Кечээ коопсуз болгон нерсе бүгүн кооптуу жана бул эки мамлекеттин ортосундагы ажырым бузулган жерде болуп саналат.

    Бул өзгөчө татаал операциялык стектерди иштеткен ишканалар үчүн өтө курч. Кардарларды тейлөө, аналитика, мазмунду түзүү жана продукт сунуштары боюнча AI менен иштеген функцияларды колдонгон компания Gemini интеграциясын ондогон ар кандай контекстте болушу мүмкүн - эгерде эсептик маалыматтар ыраатсыз иштетилсе, алардын ар бири потенциалдуу таасир этет. Чечим жөн гана жакшыраак жеке иштеп чыгуучунун адаттары эмес; бул архитектуралык. Эсептик дайындарга кирүү борборлоштурулуп, текшерилип жана платформа деңгээлинде башкарылышы керек.

    Заманбап бизнес операциялык системалары барган сайын ушуну эске алуу менен иштелип чыккан. Mewayz 207 модулдук экосистемасындагы интеллектуалдык CRM иш агымдарынан автоматташтырылган аналитикага чейин AI мүмкүнчүлүктөрүн өзүнүн топтомуна интеграциялаганда, эсептик маалыматты башкаруу колдонмо катмарында эмес, инфраструктура катмарында иштетилет. Жеке модулду иштеп чыгуучулар чийки API ачкычтарын иштетпейт; алар айлануу саясатын, аудиттин жеткиликтүүлүгүн жана бир нерсе туура эмес болуп кетсе, жардыруу радиусун чектеген абстракциялык катмарлар аркылуу мүмкүнчүлүктөрдү алышат. Бул Эгиздер доору талап кылган архитектура: жөн гана жакшы адаттар эмес, туура көнүмүш адатты жалгыз жеткиликтүү болгон жакшыраак системалар.

    Google Карталар жана YouTube үчүн уруксат берүүчү API ачкыч моделин түзүүдө ката кетирген жок. Бул модель ошол кызматтар үчүн ылайыктуу болгон. Бирок API'лердин мүмкүнчүлүктөрү жана нарк профилдери кескин түрдө өнүгүп жаткандыктан - жана AI API'лери ошол эволюциянын эң кескин бурулуу чекити болуп саналгандыктан, бүт тармак өзүнүн демейки параметрлерин калыбына келтириши керек. Бул чөйрөдө өнүгүп жаткан иштеп чыгуучулар эски эрежелерди эң жакшы өздөштүргөндөр эмес, эрежелер түп-тамырынан бери өзгөргөнүн түшүнгөндөр болушат.

    Көп берилүүчү суроолор

    Эмне үчүн Google API ачкычтары тарыхта жалпыга ачык көрсөтүү үчүн коопсуз деп эсептелген?

    Google өзүнүн API'леринин көбүн — Карталар, YouTube, Places — кардарлардын колдонуусу үчүн иштеп чыккан, башкача айтканда, ачкычтар атайылап ар кимге көрүнүп турган алдыңкы кодго кыстарылган. Коопсуздук модели негизги купуялуулуктун ордуна домендин уруксат тизмелери жана реферер текшерүүлөрү сыяктуу колдонуу чектөөлөрүнө таянган. Көп жылдар бою ачыкка чыккан ачкыч дароо айлантууну талап кылган олуттуу кемчилик эмес, конфигурация маселеси катары каралып келген.

    Google Gemini API ачкычтарын киргизгенде эмне өзгөрдү?

    Мурунку Google API'леринен айырмаланып, Gemini API ачкычтары салттуу сырлар сыяктуу иштешет — аларды ачыкка чыгаруу эсеп эсебиңизден санкцияланбаган төлөмдөргө, моделди кыянаттык менен колдонууга же квотанын түгөнүп калышына алып келиши мүмкүн. Бул өзгөртүү иштеп чыгуучулар Gemini ачкычтарын AWS эсептик дайындары же Stripe жашыруун ачкычтары сыяктуу эле тартипке салып, аларды сервер тарабында сакташы керек жана эч качан кардар кодунда сакталышы керек дегенди билдирет.

    Бүгүн иштеп чыгуучулар AI кызматтары үчүн API ачкычтарын кантип коопсуз башкаруусу керек?

    Эң мыкты тажрыйба - бул бардык AI API ачкычтарын серверде чөйрө өзгөрмөлөрү катары сактоо, эч качан версиясы башкарылуучу файлдарда же кардар таңгактарында. Жашыруун менеджерди колдонуңуз, ачкычтарды үзгүлтүксүз айлантыңыз жана провайдердин деңгээлинде чыгымга чектөөлөрдү коюңуз. Mewayz сыяктуу платформалар — айына $19 болгон 207 модулдук бизнес ОС app.mewayz.com дареги боюнча жеткиликтүү — инфраструктурасынын ичинде API эсептик дайындарын башкарууну башкарат, андыктан командалар кызматтарда ачкычтарды кол менен алмаштырбайт.

    Эгер мен Gemini API ачкычын кокусунан ачып алсам, эмне кылышым керек?

    Башка эч нерсе жасаардан мурун Google Cloud Console аркылуу бузулган ачкычты дароо жокко чыгарып, анын ордуна алмаштырыңыз. Ачкыч жыйналганын көрсөтүүчү күтүүсүз колдонуу өсүүлөрү үчүн эсептешүү тактаңызды текшериңиз. Андан кийин код базаңызды, CI/CD чөйрө өзгөрмөлөрүңүздү жана башка ачыкка чыккан эсептик дайындар үчүн бардык коомдук репозиторийлерди карап чыгыңыз. Окуяга кандайдыр бир ачыкка чыккан төлөм эсептик маалыматындай мамиле жасаңыз — ал табылды деп эсептеп, ошого жараша иш-аракет кылыңыз.