Hacker News

Maɓallan API na Google ba asiri ba ne, amma sai Gemini ya canza dokoki

Sharhi

17 min read Via trufflesecurity.com

Mewayz Team

Editorial Team

Hacker News

Lokacin da "Jama'a ta Zane" Ya Zama Alhakin Tsaro

Kusan shekaru ashirin, masu haɓakawa akan yanayin yanayin Google sun koyi darasi mai hankali amma mai mahimmanci: Maɓallan API na Google ba sirri bane da gaske. Idan kun saka maɓallin API ɗin Bayanan YouTube a cikin fayil ɗin JavaScript, Google bai firgita ba. Idan maɓallin API ɗin taswirar ku ya bayyana a cikin ma'ajiyar GitHub na jama'a, martanin tsaro ya kasance da gaske shrug da tunatarwa don saita ƙuntatawa yanki. An gina gaba dayan samfurin bisa tsammanin cewa waɗannan maɓallan za su rayu cikin lambar gefen abokin ciniki, fallasa ga duk wanda ya buɗe DevTools.

Wannan falsafar ta yi ma'ana na dogon lokaci. Maɓallin API ɗin taswirori da aka fallasa ba tare da ƙuntatawa na yanki ba na iya ɗaukar lissafin abin mamaki, amma ba zai lalata bayanan haƙuri ko zubar da asusun banki ba. Radiyon fashewar ya kasance na kuɗi kuma ana iya sarrafa shi. Kayan aiki na Google - ƙuntatawa na masu magana, IP whitelisting, iyaka iyaka - an tsara shi don ɗaukar lalacewa, ba hana fallasa gaba ɗaya ba.

Sai Gemini ya isa, kuma dokokin sun canza. Matsalar ita ce miliyoyin masu haɓakawa ba su sami memo ba.

Tsarin Hannun Hannu na Gada wanda Yanzu ke Kona Masu Haɓakawa

Tsohuwar ƙwarewar haɓakar Google ta kasance da gangan halatta. Lokacin da kuka ƙirƙiri maɓallin API na Taswirori JavaScript, takaddun a zahiri sun ƙarfafa ku da ku jefa shi kai tsaye cikin HTML ɗinku. Samfurin tsaro ba sirri bane - ƙuntatawa ne. Za ku kulle maɓalli zuwa yankinku, saita faɗakarwar keɓaɓɓu, sannan ku ci gaba. Wannan aikin injiniya ne mai fa'ida: aikace-aikacen gefen abokin ciniki da gaske ba za su iya kiyaye sirrin masu amfani ba, don haka Google ya gina tsarin da ya yarda da gaskiyar.

Wannan ya haifar da ƙarni na masu haɓakawa - kuma mafi mahimmanci, ƙarni na ɗabi'un cibiyoyi - inda maɓallan API na Google suka mamaye nau'ikan tunani daban-daban fiye da, ce, maɓallin sirri na Stripe ko shaidar samun damar AWS. Ba za ku liƙa maɓalli na sirrin Stripe cikin wurin ajiyar jama'a ba. Amma maɓallin Taswirorin ku? Wannan a zahiri ƙimar tsari ce, ba asiri ba. Ƙungiyoyi da yawa sun adana su a cikin fayilolin saiti masu fuskantar jama'a, fayilolin README, har ma a cikin masu canjin yanayi na abokin ciniki da aka riga aka sanya su da NEXT_PUBLIC_ ko REACT_APP_ ba tare da tunani na biyu ba.

Masu binciken tsaro suna duba GitHub don fallasa bayanan da suka koya don kula da maɓallan API na Google daban kuma. Maɓallin taswirori da aka zube shine bincike mai ƙarancin ƙarfi. Maɓallin Gemini da aka leka wata tattaunawa ce daban.

Abin da ya canza tare da Gemini - kuma Me yasa yake da mahimmanci API ɗin Gemini na Google baya bin tsohon littafin wasan kwaikwayo. Lokacin da kuka samar da maɓallin Gemini API ta Google AI Studio, kuna ƙirƙirar takaddun shaida tare da bayanan haɗari daban-daban fiye da taswirori ko maɓallin YouTube. Maɓallan Gemini suna tabbatar da samun damar yin amfani da babban ƙirar ƙirar harshe - sabis ɗin da ke biyan kuɗi na ainihin kayan aikin Google kuma wanda ke biyan ku da alamar, ba ta hanyar duban shafi ba.

Mafi mahimmanci, maɓallan API na Gemini ba su da ginanniyar ingantattun hanyoyin hana yanki waɗanda suka sanya fallasa sauran maɓallan Google su tsira. Babu wani sauƙi "kulle wannan zuwa yankin gidan yanar gizona" wanda zai hana maharin da ya samo maɓallin ku a cikin ma'ajiyar jama'a daga yin amfani da nasu aikace-aikacen da cinye adadin kuɗin ku - ko iyakar kuɗin kuɗin ku - daga sabar a wata ƙasa.

Haɗarin ba na kuɗi kawai ba ne. Ana iya amfani da maɓallin Gemini da aka fallasa don samar da abun ciki mai cutarwa, gudanar da harin alluran gaggawa, ko gina kayan aikin da suka saba wa sharuɗɗan sabis na Google - duk an biya su zuwa asusunku kuma ana iya gano su zuwa ga ainihin ku.

A cikin 2024, masu binciken tsaro sun gano dubunnan maɓallan Gemini API da aka fallasa akan GitHub kaɗai, yawancinsu a cikin ma'ajiyar da aka yi garkuwa da wasu maɓallan API na Google a baya ba tare da wata matsala ba. Masu haɓakawa ba su kasance masu sakaci ta nasu ƙa'idodin tarihi ba - suna amfani da tsarin tunani wanda Google da kansa ya horar da su don amfani da su. Yanayin ya canza da sauri fiye da yadda ake yi.

Hanyoyin Halittu na Bayyanar Hatsari

Fahimtar yadda waɗannan fallasa suke faruwa shine matakin farko na hana su. Hanyoyin gazawar sun yi daidai da daidaito a cikin ƙungiyoyi masu girma dabam:

  • Mummunan canjin yanayi: Masu haɓakawa da aka yi amfani da su zuwa maɓallan taswirorin Google suna gabaɗaya maɓallan Gemini tare daNEXT_PUBLIC_ ko VITE_, nan take suna fallasa su a cikin haɗe-haɗe lambar abokin ciniki.
  • Lalacewar tarihin ma'ajiya: Ana ƙara maɓalli a cikin fayil ɗin saiti, an ƙaddamar da shi, sannan a cire shi - amma tarihin git yana ci gaba da nema har abada. Maharan suna amfani da kayan aiki kamar su truffleHog da gitleaks musamman don ma'adinan wannan tarihin.
  • Littafin rubutu da leakage samfuri:Masana kimiyyar bayanai suna yin haɗe-haɗe da Gemini a cikin littattafan rubutu na Jupyter suna tura waɗancan littattafan rubutu zuwa GitHub tare da maɓallai da aka saka a cikin fitattun ƙwayoyin sel.
  • Cikin kuskuren CI/CD: Maɓallai da aka adana azaman sirrin ma'ajiyar ana yin kuskure da gangan a cikin ginin rajistan ayyukan da ake iya gani a bainar jama'a akan Ayyukan GitHub ko makamantansu.
  • Babban sabis na ɓangare na uku: Masu haɓakawa suna liƙa maɓalli a cikin dashboards na nazari, kayan aikin no-code, ko dandamalin haɗin kai ba tare da yin bitar matakan tsaro na dandamali ba.
  • Tashoshin sadarwa na ƙungiyar: Maɓallai da aka raba akan Slack, Discord, ko imel suna ƙarewa cikin tarihin saƙon da za'a iya nema waɗanda suka wuce jadawalin juyi.
Zaren gama gari ba sakaci ba ne - rugujewar mahallin ce. Halayen da ke da aminci a cikin mahallin guda ɗaya (ci gaban taswirorin Google) suna da haɗari a wani (ci gaban Gemini), kuma kamanni na gani na takaddun shaida yana sa bambanci cikin sauƙi a rasa.

Gina Al'adun Gudanar da Asiri Mai Girma

Halin Gemini yana da amfani mai amfani na tilastawa wani abu da yawancin ƙungiyoyin ci gaba ke jinkirtawa: gina ainihin kayan aikin sarrafa asirin sirri maimakon hanyoyin ad-hoc. Ga ƙananan ƙungiyoyi, wannan na iya jin kamar ƙetare aikin injiniya, amma farashin fallasa takaddun shaida - zamba, dakatar da asusun, sanarwar karya bayanai - ya zarce ƙoƙarin yin wannan daidai.

Sarrafa sirruka na zamani yana bin tsarin da ya dace. A matakin samar da ababen more rayuwa, kayan aikin kamar HashiCorp Vault, AWS Secrets Manager, ko Google Secret Manager suna ba da ma'ajin ƙididdiga na tsakiya, wanda za'a iya gani tare da ikon jujjuyawar atomatik. Waɗannan ba don manyan masana'antu ba ne kawai - ayyuka kamar Doppler da Infisical suna kawo tsari iri ɗaya ga ƙungiyoyin masu haɓakawa biyu ko uku a wuraren farashi masu isa.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

A matakin lambar, horo ya fi sauƙi: takaddun shaida ba su taɓa lambar tushe ba. Cikakken tsayawa. Ba a cikin layukan da aka yi sharhi ba, ba a cikin fayilolin misali ba, ba a cikin kayan aikin gwaji tare da dabi'u masu kyan gani ba waɗanda suka zama na gaske. Pre-commit ƙugiya kayan aiki masu gudana kamar gano-asirinko gitleaks suna kama da keta kafin su isa wurin ajiya mai nisa. Waɗannan ƙugiya suna ɗaukar mintuna don daidaitawa da kuma kashe abubuwan da suka faru da damuwa.

Don ƙungiyoyin da ke gudanar da hadaddun ɗimbin ayyuka - sarrafa komai daga ayyukan CRM zuwa haɗin kai na biyan kuɗi zuwa tsarin ajiyar abokin ciniki - Gudanar da takaddun shaida ya zama mafi mahimmanci. Platforms kamarMewayz, wanda ke haɗa nau'ikan kasuwanci na 207 a ƙarƙashin laima guda ɗaya, an gina su tare da wannan ka'ida a ainihin su: ana gudanar da takaddun shaida da haɗin gwiwar API a matakin dandamali, ba a warwatse a cikin kowane nau'i-nau'i ko mahallin mahalli guda ɗaya ba. Lokacin da maɓalli ke buƙatar juyawa, yakan faru sau ɗaya, a wuri ɗaya, ba tsakanin wuraren haɗin kai goma sha bakwai daban-daban ba.

Vector Attack na Biyan Kuɗi: Barazana Model Developers

Tattaunawar tsaro galibi kan mayar da hankali kan keta bayanai da shiga mara izini. Matsalar bayyanar Gemini tana ƙara samfurin barazana na uku wanda ya cancanci kulawa daidai: zamba a ma'auni.

Babban ƙirar ƙirar harshe yana da tsada. GPT-4 da Gemini Ultra suna aiwatar da alamun a juzu'i na cent kowane, amma a sikelin - dubban buƙatun, miliyoyin alamu - waɗancan ɓangarorin suna ƙara har zuwa dubban daloli cikin sauri. Maharan da suka gano fallasa maɓallan API API ɗin ba lallai bane suna son bayanan ku. Suna son lissafin kyauta. Za su yi amfani da takaddun shaidarku don gudanar da ayyukan AI na kansu, sake siyar da iyawar ƙididdigewa, ko gwada gwada aikace-aikacen su - duk lokacin da lissafin ke zuwa gare ku.

Ɗaya daga cikin mai haɓakawa ya rubuta yana farkawa har zuwa lissafin $23,000 daga maɓallin Gemini da aka fallasa a cikin ma'ajiyar jama'a na ƙasa da sa'o'i shida. Maharin ya yi amfani da aikin sarrafa kansa nan da nan, yana gudanar da ayyuka masu girma da yawa a kai a kai har sai da Google ya gano zamba. A ƙarshe mai haɓakawa ya sami koma bayan cajin bayan wani dogon tsari na takaddama, amma an dakatar da asusun a wannan lokacin, yana ɗaukar ayyukan samarwa da shi.

Wannan shine dalilin da ya sa faɗakarwar lissafin kuɗi da iyakokin ƙididdiga ba su zama madadin sarrafa sirrin da ya dace ba - layin tsaro ne na ƙarshe wanda kuke fatan ba za ku taɓa buƙata ba. Saita ƙayyadaddun ƙayyadaddun kashe kuɗi na wata-wata akan asusun AI API shine gungumen tebur a yanzu, amma ainihin kariyar ita ce tabbatar da cewa waɗannan bayanan ba su taɓa zubewa ba tun farko.

Mataki Na Haƙiƙa don Ƙungiyoyin Yin Canjin

Idan ƙungiyar ku ta kasance tana gina haɗin gwiwar Google API a ƙarƙashin tsohuwar ƙirar tunani kuma yanzu tana ƙara Gemini cikin tari, ga jerin abubuwan bincike na gaskiya:

  1. Bincika ma'ajiyar da ke akwai nan da nan. Gudanar datruffleHog kogitleaks a kan cikakken tarihin git ɗin ku, ba kawai HEAD na yanzu ba. Mai da hankali musamman ga kowane ma'ajiyar da aka yi amfani da maɓallin Google API a baya.
  2. Juyawa duk fallasa maɓallai. Idan maɓallin Gemini ya taɓa bayyana a cikin alƙawarin, ɗauka an daidaita shi. Soke shi kuma samar da wani sabo. Kada ka yi ƙoƙarin tantance ko wani "a zahiri" ya same shi.
  3. Yi aiwatar da binciken kafin aiwatarwa. Shigar da ƙugiya masu gano sirri a kan kowace na'ura mai haɓakawa da kuma cikin bututun CI/CD a matsayin ƙofar da ba za a iya wucewa ba.
    4. Ƙirƙirar ƙira mai mahimmanci. Sanin waɗanne sabis ne suke da takaddun shaida, wanda ya mallaki su, lokacin da aka juya su na ƙarshe, da kuma inda aka yi amfani da su. Rubutun maƙulli shine kyakkyawan farawa; a secret manager is the manufa.
  4. Saita faɗakarwar lissafin kuɗi da ƙayyadaddun iyaka. A kowane asusun AI API, saita faɗakarwa a kashi 50% da 80% na kashe kuɗin da kuke tsammani a kowane wata, kuma saita iyaka mai ƙarfi wanda zai hana bala'in lissafin kuɗi.
  5. Daftarin sabon tsarin tunani a sarari. Sabunta kayan aikin ƙungiyar ku da littafin aikin injiniya don bayyana a sarari cewa maɓallan API na Gemini manyan mahimman bayanai ne masu fa'ida da ke buƙatar magani iri ɗaya da sirrin sarrafa biyan kuɗi.

Babban Darasi na Kasuwancin Dogara da Dandali

Halin Gemini yana kwatanta tsarin da ke shafar duk wani kasuwanci mai zurfi tare da dandamali na ɓangare na uku: dandamali ya samo asali, kuma abubuwan da ake bukata na tsaro suna tasowa tare da su, amma dabi'un hukumomi na ƙungiyoyi masu amfani da waɗannan dandamali sau da yawa ba sa tafiya. Abin da ke zaman lafiya a jiya yana da hadari a yau, kuma tazarar da ke tsakanin jihohin biyu ita ce inda aka samu sabani.

Wannan ya fi dacewa ga kasuwancin da ke gudanar da hadaddun ayyuka masu rikitarwa. Kamfanin da ke amfani da fasalulluka masu ƙarfin AI a cikin sabis na abokin ciniki, nazari, tsara abun ciki, da shawarwarin samfur na iya samun haɗin gwiwar Gemini a cikin dozin daban-daban mahallin - kowannensu yana da yuwuwar bayyanar idan ana sarrafa takaddun shaida ba daidai ba. Maganin ba kawai mafi kyawun halaye masu haɓaka mutum ɗaya bane; na gine-gine ne. Ana buƙatar samun damar yin amfani da takardar shaidar zama a tsakiya, a duba shi, a kuma sarrafa shi a matakin dandamali.

Ana ƙara ƙirƙira tsarin tsarin kasuwanci na zamani tare da wannan a zuciyarsa. Lokacin daMewayzya haɗu da damar AI a duk faɗin ɗakin sa - daga aikin aikin CRM na hankali zuwa ƙididdigar sarrafa kansa a cikin yanayin yanayin yanayin 207-module - ana sarrafa ƙimar shaidar a matakin kayan aikin, ba ƙirar aikace-aikacen ba. Masu haɓaka nau'ikan nau'ikan nau'ikan nau'ikan ba sa ɗaukar maɓallan API ɗin danye; suna samun damar iya yin amfani da su ta hanyar rarrabuwar kawuna waɗanda ke tilasta manufofin jujjuyawa, samun damar duba bayanai, da iyakance radius mai fashewa idan wani abu ya yi kuskure. Wannan shine tsarin gine-ginen da zamanin Gemini ke buƙata: ba kawai halaye masu kyau ba, amma mafi kyawun tsarin da ke sa al'ada ta dace shine kawai zaɓin da ake samuwa.

Google bai yi kuskure ba don gina ƙirar maɓallin API mai izini don Taswirori da YouTube. Wannan samfurin ya dace da waɗannan ayyukan. Amma kamar yadda iyawa da bayanan bayanan farashi na APIs ke tasowa sosai - kuma kamar yadda AI APIs ke wakiltar watakila mafi girman juzu'in juyin halitta - duk masana'antar suna buƙatar sake saita abubuwan da suka dace. Masu haɓakawa waɗanda suka bunƙasa a cikin wannan yanayin ba za su kasance waɗanda suka koyi tsoffin ƙa'idodin ba, amma waɗanda suka gane lokacin da ƙa'idodin suka canza.

Tambayoyin da ake yawan yi

Me yasa aka yi la'akari da tarihin maɓallan API na Google lafiya don fallasa a bainar jama'a?

Google ya tsara yawancin APIs ɗin sa - Taswirori, YouTube, Wurare - don amfanin abokin ciniki, ma'ana da gangan an saka maɓallai a lambar gaba-gaba ga kowa. Samfurin tsaro ya dogara da hane-hane na amfani kamar jerin izini na yanki da bincike mai nuni maimakon sirrin maɓalli. Tsawon shekaru, an ɗauki maɓalli da aka fallasa a matsayin batun daidaitawa, ba babban lahani da ke buƙatar juyawa nan da nan ba.

Me ya canza lokacin da Google ya gabatar da maɓallan API na Gemini?

Ba kamar na Google APIs na gado ba, maɓallan API na Gemini suna aiki kamar sirrin gargajiya - fallasa mutum na iya haifar da caji mara izini ga asusun lissafin ku, cin zarafi, ko ƙarancin ƙima ba tare da wani ƙayyadaddun ƙayyadaddun yanki don ceton ku ba. Canjin yana nufin masu haɓakawa dole ne yanzu su bi maɓallan Gemini tare da horo iri ɗaya kamar takaddun shaidar AWS ko maɓallan sirrin Stripe, adana su gefen uwar garken kuma ba a cikin lambar fuskantar abokin ciniki.

Yaya yakamata masu haɓakawa su sarrafa amintattun maɓallan API don ayyukan AI a yau?

Mafi kyawun aiki shine adana duk maɓallan API API azaman masu canjin yanayi akan sabar, ba a cikin fayiloli masu sarrafa sigar ko dam ɗin abokin ciniki ba. Yi amfani da mai sarrafa sirri, juya maɓalli akai-akai, da saita iyakokin kashe kuɗi a matakin mai bayarwa. Platform kamar Mewayz - OS na kasuwanci-module 207 akan $19/mo ana samunsa a app.mewayz.com - sarrafa sarrafa shaidar API a cikin kayan aikin su don haka ƙungiyoyi ba sa jujjuya maɓallai da hannu a cikin ayyuka.

Me zan yi idan na riga na fallasa maɓallin API Gemini da gangan?

Sake murƙushe maɓallin nan da nan ta hanyar Google Cloud Console kuma samar da wanda zai maye gurbinsa kafin yin wani abu. Duba dashboard ɗin lissafin ku don ƙaruwar amfani da ba zato ba tsammani wanda zai iya nuna an girbe maɓalli. Sa'an nan kuma bitar lambar lambar ku, masu canjin yanayi na CI/CD, da kowane ma'ajiyar jama'a don wasu bayanan sirri da aka leka. Bi da abin da ya faru kamar yadda za ku yi kowane fallasa shaidar biyan kuɗi - ɗauka cewa an samo shi kuma kuyi aiki daidai.