Çelësat e Google API nuk ishin sekrete, por më pas Binjakët ndryshuan rregullat

Kur "Public by Design" bëhet një detyrim sigurie

Për gati dy dekada, zhvilluesit që ndërtojnë ekosistemin e Google mësuan një mësim delikat por të rëndësishëm: çelësat e Google API nuk janë vërtet sekrete. Nëse keni futur një çelës API të të dhënave të YouTube në një skedar JavaScript, Google nuk u alarmua. Nëse çelësi juaj i Maps API u shfaq në një depo publike të GitHub, përgjigja e sigurisë ishte në thelb një ngritje supet dhe një kujtesë për të vendosur kufizime të domenit. I gjithë modeli u ndërtua rreth supozimit se këta çelësa do të jetonin në kodin e klientit, të ekspozuar ndaj kujtdo që hapi DevTools.

Kjo filozofi kishte kuptim për një kohë të gjatë. Një çelës Maps API i ekspozuar pa kufizime domeni mund të mbledhë një faturë të papritur, por nuk do të komprometonte të dhënat e pacientit ose nuk do të mbaronte një llogari bankare. Rrezja e shpërthimit ishte financiare dhe e menaxhueshme. Mjetet e Google - kufizimet e referimit, lista e bardhë e IP-së, kufijtë e kuotave - u krijuan për të përmbajtur dëmin, jo për të parandaluar plotësisht ekspozimin.

Pastaj Binjakët mbërritën dhe rregullat ndryshuan. Problemi është se miliona zhvillues nuk e kanë marrë memo.

Modeli mendor i trashëguar që tani po djeg zhvilluesit

Përvoja e vjetër e zhvilluesit të Google ishte qëllimisht lejuese. Kur krijuat një çelës API të Maps JavaScript, dokumentacioni praktikisht ju inkurajoi ta hidhni atë drejtpërdrejt në HTML-në tuaj. Modeli i sigurisë nuk ishte fshehtësia - ishte kufizim. Do të kyçje çelësin e domenit tënd, do të vendosësh sinjalizimet e kuotave dhe do të vazhdosh. Kjo ishte inxhinieri pragmatike: aplikacionet nga ana e klientit nuk mund të mbajnë sekrete nga përdoruesit e vendosur, kështu që Google ndërtoi një sistem që e pranoi atë realitet.

Kjo krijoi një brez zhvilluesish - dhe më e rëndësishmja, një gjeneratë zakonesh institucionale - ku çelësat e API të Google zinin një kategori mendore të ndryshme sesa, të themi, një çelës sekret Stripe ose një kredenciale aksesi AWS. Ju nuk do të ngjisni çelësin tuaj sekret Stripe në një depo publike. Por çelësi juaj i Hartave? Kjo ishte praktikisht një vlerë konfigurimi, jo sekret. Shumë ekipe i ruajtën ato në skedarë konfigurimi me pamje publike, skedarë README, madje edhe në variablat e mjedisit nga ana e klientit të prefiksuara me NEXT_PUBLIC_ ose REACT_APP_ pa një mendim të dytë.

Studiuesit e sigurisë që skanojnë GitHub për kredencialet e ekspozuara mësuan të trajtojnë edhe çelësat e Google API ndryshe. Një çelës i zbuluar i Hartave ishte një gjetje me ashpërsi të ulët. Një çelës i zbuluar i Binjakëve është një bisedë krejtësisht e ndryshme.

Çfarë ndryshoi me Binjakët - dhe pse ka rëndësi

API Gemini i Google nuk ndjek librin e vjetër të lojërave. Kur krijoni një çelës API Gemini përmes Google AI Studio, po krijoni një kredencial me një profil rreziku thelbësisht të ndryshëm nga një çelës Maps ose YouTube. Çelësat Gemini vërtetojnë qasjen në konkluzionet e modelit të gjuhës së madhe - një shërbim që i kushton Google burime reale llogaritëse dhe që ju faturon sipas shenjës, jo sipas pamjes së faqes.

Më kritike, çelësat Gemini API nuk kanë të njëjtat mekanizma të integruar të kufizimit të domenit që e bënë ekspozimin e çelësave të tjerë të Google të mbijetueshëm. Nuk ka asnjë kontroll të thjeshtë "kyç këtë në domenin e faqes sime të internetit" që do të parandalonte një sulmues që gjeti çelësin tuaj në një depo publike që të rrotullonte aplikacionin e tij dhe të konsumonte kuotën tuaj - ose kufirin tuaj të faturimit - nga një server në një vend tjetër.

Rreziku nuk është vetëm financiar. Një çelës i ekspozuar i Gemini mund të përdoret për të gjeneruar përmbajtje të dëmshme, për të kryer sulme të menjëhershme me injeksion ose për të ndërtuar mjete që shkelin kushtet e shërbimit të Google - të gjitha të faturuara në llogarinë tuaj dhe të gjurmueshme deri në identitetin tuaj.

Në vitin 2024, studiuesit e sigurisë identifikuan mijëra çelësa të ekspozuar të Gemini API vetëm në GitHub, shumë prej tyre në depo që kishin mbajtur më parë çelësa të tjerë API të Google pa incidente. Zhvilluesit nuk po tregoheshin të pamatur sipas standardeve të tyre historike – ata po aplikonin një model mendor që vetë Google i kishte trajnuar ta përdornin. Mjedisi ndryshoi më shpejt se zakonet.

Anatomia e një ekspozimi aksidental

Të kuptuarit se si ndodhin këto ekspozime është hapi i parë drejt parandalimit të tyre. Mënyrat e dështimit janë

Frequently Asked Questions

Why were Google API keys historically considered safe to expose publicly?

Google designed many of its APIs — Maps, YouTube, Places — for client-side use, meaning keys were intentionally embedded in front-end code visible to anyone. The security model relied on usage restrictions like domain allowlists and referrer checks rather than key secrecy. For years, an exposed key was considered a configuration issue, not a critical vulnerability requiring immediate rotation.

What changed when Google introduced Gemini API keys?

Unlike legacy Google APIs, Gemini API keys function more like traditional secrets — exposing one can result in unauthorized charges to your billing account, model abuse, or quota exhaustion with no built-in domain restriction to save you. The shift means developers must now treat Gemini keys with the same discipline as AWS credentials or Stripe secret keys, storing them server-side and never in client-facing code.

How should developers securely manage API keys for AI services today?

Best practice is to store all AI API keys as environment variables on the server, never in version-controlled files or client bundles. Use a secrets manager, rotate keys regularly, and set spending limits at the provider level. Platforms like Mewayz — a 207-module business OS at $19/mo available at app.mewayz.com — handle API credential management within their infrastructure so teams aren't manually juggling keys across services.

What should I do if I have already accidentally exposed a Gemini API key?

Revoke the compromised key immediately through Google Cloud Console and generate a replacement before doing anything else. Audit your billing dashboard for unexpected usage spikes that could indicate the key was harvested. Then review your codebase, CI/CD environment variables, and any public repositories for other leaked credentials. Treat the incident as you would any exposed payment credential — assume it was found and act accordingly.

Related Posts

• Coccinelle: Mjeti i transformimit të kernelit Linux nga burimi në burim
• QGIS 4.0
• Pse fleta e aluminit ka një anë me shkëlqim dhe një me një fund mat?
• Trego HN: Trajner i Intervalit Muzikor