Hacker News

गूगल एपीआई कुंजी कोनो रहस्य नहि छल, मुदा फेर जेमिनी नियम बदलि देलक

टिप्पणी

1 min read Via trufflesecurity.com

Mewayz Team

Editorial Team

Hacker News

जखन "डिजाइन द्वारा सार्वजनिक" सुरक्षा दायित्व बनैत अछि

लगभग दू दशक स॑ गूगल केरऽ इकोसिस्टम प॑ निर्माण करै वाला डेवलपर न॑ एगो सूक्ष्म लेकिन महत्वपूर्ण सबक सीखलकै कि गूगल एपीआई कुंजी वास्तव म॑ रहस्य नै छै । अगर अहां कोनो जावास्क्रिप्ट फाइल मे यूट्यूब डाटा एपीआई कुंजी एम्बेड केने रही त गूगल के कोनो घबराहट नहि भेल. यदि अहां कें मैप्स एपीआई कुंजी कोनों सार्वजनिक गिटहब भंडार मे दिखाय देल गेलय, त सुरक्षा प्रतिक्रिया अनिवार्य रूप सं एकटा कंधा झटकनाय आ डोमेन प्रतिबंध सेट करय कें लेल एकटा स्मरण छल. पूरा मॉडल ई धारणा के आसपास बनालऽ गेलऽ छेलै कि ई कुंजी क्लाइंट-साइड कोड म॑ रहतै, जे भी DevTools खोलै वाला के सामने उजागर करलऽ जैतै ।

ओ दर्शन बहुत दिन धरि सार्थक छल। बिना डोमेन प्रतिबंध के उजागर मैप्स एपीआई कुंजी आश्चर्यजनक बिल के रैक क सकैत अछि, मुदा ई मरीज के रिकॉर्ड सं समझौता करय वाला नहिं छल या बैंक खाता के पानी नहिं निकालय वाला छल. विस्फोटक त्रिज्या आर्थिक आ प्रबंधनीय छल। गूगल केरऽ टूलिंग — रेफरर प्रतिबंध, आईपी व्हाइटलिस्टिंग, कोटा सीमा — क॑ नुकसान क॑ रोकै लेली डिजाइन करलऽ गेलऽ छेलै, न कि पूरा तरह स॑ एक्सपोजर क॑ रोकै लेली ।

तखन मिथुन राशि पहुँचल, आ नियम बदलि गेल। समस्या ई जे लाखों डेवलपर के ज्ञापन नहि भेटल अछि.

विरासत मानसिक मॉडल जे आब डेवलपर कए जरा रहल अछि

पुरान गूगल डेवलपर अनुभव जानि-बुझि क' अनुमति देल गेल छल. जब॑ आपने मैप्स जावास्क्रिप्ट एपीआई कुंजी बनयने छेलियै, त॑ दस्तावेजीकरण व्यावहारिक रूप स॑ आहाँ क॑ एकरा सीधा अपनऽ एचटीएमएल म॑ छोड़ै लेली प्रोत्साहित करलकै । सुरक्षा मॉडल गोपनीयता नहि छल — प्रतिबंध छल । अहाँ अपन डोमेन के कुंजी लॉक क' क' कोटा अलर्ट सेट क' क' आगू बढ़ि जायब. ई व्यावहारिक इंजीनियरिंग छल: क्लाइंट-साइड एप्लीकेशन वास्तव मे निर्धारित उपयोगकर्ता सं रहस्य नहि राखि सकैत अछि, तें गूगल एकटा एहन सिस्टम बनौलक जे ओहि वास्तविकता कें स्वीकार केलक.

ई डेवलपर केरऽ एगो पीढ़ी पैदा करलकै — आरू एकरा स॑ भी महत्वपूर्ण बात ई छै कि संस्थागत आदतऽ के एक पीढ़ी — जहाँ गूगल एपीआई कुंजी न॑, कहै लेली, स्ट्राइप गुप्त कुंजी या AWS पहुँच क्रेडेंशियल स॑ अलग मानसिक श्रेणी प॑ कब्जा करी लेल॑ छेलै । अहाँ अपन स्ट्राइप सीक्रेट की केँ कोनो पब्लिक रेपो मे पेस्ट नहि करब. मुदा अहाँक मैप्स कुंजी? जे व्यावहारिक रूपेँ एकटा विन्यास मूल्य छल, कोनो रहस्य नहि। बहुत टीम ओकरा सार्वजनिक-मुखी कॉन्फ़िगरेशन फाइल, README फाइल, एतय तक कि क्लाइंट-साइड वातावरण चर मे सेहो संग्रहीत केलक जकर उपसर्ग NEXT_PUBLIC_ या REACT_APP_ सँ बिना कोनो दोसर विचार केने छल.

उजागर क्रेडेंशियल के लेल गिटहब के स्कैन करय वाला सुरक्षा शोधकर्ता गूगल एपीआई कुंजी के संग सेहो अलग तरह सं व्यवहार करब सीखलखिन्ह. एकटा लीक मैप्स कुंजी कम गंभीरता वाला निष्कर्ष छल. लीक भेल मिथुन राशिक कुंजी एकदम अलग गप्प अछि।

मिथुन राशि के साथ की बदललऽ — आरू ई कियैक मायने रखै छै

गूगल के जेमिनी एपीआई पुरान प्लेबुक के पालन नै करै छै. जखन अहां गूगल एआई स्टूडियो कें माध्यम सं जेमिनी एपीआई कुंजी उत्पन्न करय छी, तखन अहां मैप्स या यूट्यूब कुंजी सं मौलिक रूप सं अलग जोखिम प्रोफाइल वाला क्रेडेंशियल बना रहल छी. मिथुन कुंजी पैघ भाषा मॉडल अनुमान तक पहुँच प्रमाणित करैत अछि — एकटा एहन सेवा जे गूगल वास्तविक कंप्यूट संसाधनक लागत आ जे अहाँकेँ टोकन द्वारा बिल दैत अछि, पृष्ठदृश्य द्वारा नहि.

अधिक महत्वपूर्ण बात ई छै कि जेमिनी एपीआई कुंजी म॑ वू बिल्ट-इन डोमेन प्रतिबंध तंत्र नै छै जेकरा स॑ अन्य गूगल कुंजी क॑ उजागर करना जीवित होय सकै छेलै । कोनों साधारण "एकरा हमर वेबसाइट कें डोमेन पर लॉक" नियंत्रण नहि छै जे कोनों हमलावर कें रोकत जे कोनों सार्वजनिक भंडार मे अहां कें कुंजी भेटल छै, ओकर अपन एप्लीकेशन कें स्पिन अप करय सं आ अहां कें कोटा — या अहां कें बिलिंग सीमा — कें सेवन करय सं दोसर देश कें कोनों सर्वर सं.

<ब्लॉककोट>

खतरा खाली आर्थिक नै छै। एकटा उजागर मिथुन कुंजी कें उपयोग हानिकारक सामग्री उत्पन्न करय, शीघ्र इंजेक्शन हमला करय, या गूगल कें सेवा शर्तक कें उल्लंघन करय वाला उपकरण बनावा कें लेल कैल जा सकय छै — सबटा अहां कें खाता मे बिल कैल गेल छै आ अहां कें पहचान कें पता लगाय सकय छै.

के अछि

2024 म॑ सुरक्षा शोधकर्ता न॑ असगरे गिटहब प॑ हजारों उजागर जेमिनी एपीआई कुंजी के पहचान करलकै, जेकरा म॑ स॑ बहुत सारा रिपोजिटरी म॑ छेलै जे पहिने बिना कोनो घटना के अन्य गूगल एपीआई कुंजी क॑ होस्ट करी चुकलऽ छेलै । डेवलपर सब अपनऽ ऐतिहासिक मानक के हिसाब स॑ लापरवाह नै होय रहलऽ छेलै — वू एगो मानसिक मॉडल लागू करी रहलऽ छेलै जेकरऽ उपयोग गूगल न॑ खुद ओकरा प्रशिक्षित करल॑ छेलै । आदतिसँ बेसी तेजीसँ परिवेश बदलल।

एक आकस्मिक जोखिम के शरीर रचना विज्ञान

ई एक्सपोजर कोना होइत अछि से बुझब एकरा रोकबाक पहिल डेग अछि । विफलता मोड सब आकारक टीम मे उल्लेखनीय रूप सँ सुसंगत अछि:

  • पर्यावरण चर गलत वर्गीकरण: गूगल मैप्स कुंजी कें उपयोग करय वाला डेवलपर मिथुन कुंजी कें उपसर्ग NEXT_PUBLIC_ या VITE_ सं लगायत छै, जे तुरंत बंडल क्लाइंट-साइड कोड मे उजागर करयत छै.
  • भंडार इतिहास दूषितता: एकटा कुंजी एकटा कॉन्फ़िगरेशन फाइल मे जोडल जाइत अछि, प्रतिबद्ध कएल जाइत अछि, फेर हटा देल जाइत अछि — मुदा git इतिहास अनिश्चित काल धरि खोज योग्य रहैत अछि. हमलावर विशेष रूप सँ एहि इतिहास केँ खनन करबाक लेल truffleHog आओर gitleaks सन उपकरणक उपयोग करैत अछि.
  • नोटबुक आरू प्रोटोटाइप रिसाव: जुपिटर नोटबुक म॑ मिथुन एकीकरण केरऽ प्रोटोटाइप बनाबै वाला डाटा वैज्ञानिक वू नोटबुक क॑ सेल आउटपुट म॑ एम्बेडेड कुंजी के साथ गिटहब प॑ धकेल॑ छै ।
  • CI/CD गलत विन्यास: भंडार रहस्य कें रूप मे संग्रहीत कुंजी गलती सं बिल्ड लॉग मे गूंजैत छै जे सार्वजनिक रूप सं GitHub Actions या समान प्लेटफॉर्म पर दिखाई दैत छै.
  • तृतीय-पक्ष सेवा प्रसार: डेवलपर ओहि प्लेटफार्मक सुरक्षा मुद्राक समीक्षा केने बिना एनालिटिक्स डैशबोर्ड, नो-कोड टूल, वा एकीकरण प्लेटफॉर्म मे कुंजी पेस्ट करैत अछि.
  • टीम संचार चैनल: स्लैक, डिस्कॉर्ड, या ईमेल पर साझा कुंजी खोज योग्य संदेश इतिहास मे समाप्त भ जायत छै जे रोटेशन शेड्यूल सं बेसी जीवित रहैत छै.

सामान्य धागा लापरवाही नहि अछि — ई संदर्भ पतन अछि । जे व्यवहार एक संदर्भ में सुरक्षित छेलै (गूगल मैप्स विकास) दोसरऽ संदर्भ में खतरनाक होय छै (मिथुन विकास), आरू साख के दृश्य समानता के कारण ई भेद के छूटना आसान होय जाय छै.

एकटा रहस्य प्रबंधन संस्कृति के निर्माण जे स्केल करय

मिथुन राशि केरऽ स्थिति एगो उपयोगी मजबूर करय वाला कार्य छै जेकरा लेली बहुत सारा विकास टीम स्थगित करी रहलऽ छै: तदर्थ दृष्टिकोण के बजाय वास्तविक रहस्य प्रबंधन बुनियादी ढाँचा के निर्माण । छोट टीमक कें लेल, इ ओवरइंजीनियरिंग कें तरह महसूस भ सकय छै, मुदा एकटा क्रेडेंशियल एक्सपोजर कें लागत — बिलिंग धोखाधड़ी, खाता निलंबन, डाटा ब्रेच सूचना — इ सही तरीका सं करय कें प्रयास सं काफी बेसि छै.

आधुनिक रहस्य प्रबंधन एकटा स्तरीय दृष्टिकोण के पालन करैत अछि | बुनियादी ढांचे कें स्तर पर, हाशीकॉर्प वॉल्ट, एडब्ल्यूएस सीक्रेट्स मैनेजर, या गूगल सीक्रेट मैनेजर जैना उपकरण स्वचालित घुमाव क्षमता कें साथ केंद्रीकृत, ऑडिटेबल क्रेडेंशियल स्टोरेज प्रदान करयत छै. ई सब खाली पैघ उद्यम के लेल नै छै — डॉपलर आरू इन्फिसिकल जैसनऽ सेवा सुलभ मूल्य बिंदु प॑ दू या तीन डेवलपर के टीम म॑ एक ही पैटर्न लानै छै.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

कोड स्तर पर, अनुशासन सरल छै: क्रेडेंशियल कहियो स्रोत कोड कें स्पर्श नै करै छै. फुल स्टॉप। कमेंट-आउट लाइन मे नहि, उदाहरण फाइल मे नहि, नकली देखय वाला मान वाला टेस्ट फिक्सचर मे नहि जे वास्तविक निकलय. detect-secrets या gitleaks जैना उपकरण चला रहल पूर्व-कमिट हुक दूरस्थ भंडार मे पहुंचय सं पहिने उल्लंघन कें पकड़ैत छै. ई हुक सभकेँ कॉन्फ़िगर करबामे मिनट लगैत अछि आ अहाँक घटना प्रतिक्रिया चिंतासँ वर्ष सभसँ मुक्त भ' जाइत अछि.

जटिल परिचालन ढेर चलावय वाला संगठनक कें लेल — सीआरएम कार्यप्रवाह सं ल क पेरोल एकीकरण सं ल क ग्राहक कें सामना करय वाला बुकिंग प्रणाली तइक कें प्रबंधन करनाय — केंद्रीकृत क्रेडेंशियल प्रबंधन आ बेसि महत्वपूर्ण भ जायत छै. | जखन कोनो कुंजी के घुमाबय के जरूरत होएत अछि त ओ एक बेर, एक ठाम, सत्रह अलग-अलग एकीकरण बिन्दु के पार नहिं.

बिलिंग हमला वेक्टर: एकटा खतरा मॉडल डेवलपर कम आंकल

सुरक्षा चर्चा अक्सर डाटा उल्लंघन आ अनधिकृत पहुंच पर केंद्रित छै. मिथुन एक्सपोजर समस्या एकटा तेसर खतरा मॉडल जोड़ैत अछि जे समान रूप सं ध्यान देबय के हकदार अछि: पैमाना पर बिलिंग धोखाधड़ी.

बड़का भाषा मॉडल अनुमान महग अछि। जीपीटी-4 आरू जेमिनी अल्ट्रा एक-एक सेंट के अंशऽ प॑ टोकन क॑ प्रोसेस करै छै, लेकिन पैमाना प॑ — हजारों अनुरोध, लाखों टोकन — वू अंश बहुत जल्दी जोड़लऽ जाय छै आरू हजारों डॉलर होय जाय छै । जे हमलावर उजागर एआई एपीआई कुंजी कें खोज करएयत छै, ओकरा जरूरी नहि छै कि अहां कें डाटा चाही. हुनका सब के फ्री कंप्यूट चाही। ओ अहां कें क्रेडेंशियल कें उपयोग अपन एआई सेवाक कें चलावय कें लेल, अनुमान क्षमता कें पुनर्विक्रय करय कें लेल, या अपन एप्लीकेशन कें तनाव-परीक्षण करय कें लेल करतय — इ सबटा जखन बिल अहां कें पास जायत.

एकटा डेवलपर न॑ छह घंटा स॑ भी कम समय तलक सार्वजनिक भंडार म॑ उजागर मिथुन कुंजी स॑ २३,००० डॉलर के बिल प॑ जागला के दस्तावेजीकरण करलकै । हमलावर तुरंत शोषण क॑ स्वचालित करी क॑ हाई-थ्रूपुट जनरेशन टास्क लगातार चलाबै छेलै जब॑ तलक कि गूगल केरऽ धोखाधड़ी के पता नै चल॑ गेलै । डेवलपर अंततः एकटा लंबा विवाद प्रक्रिया के बाद शुल्क उलटि लेलक, मुदा ओहि दौरान खाता निलंबित क देल गेल, जेकरा संग उत्पादन सेवा सेहो उतारल गेल.

एही कारण अछि जे बिलिंग अलर्ट आ कोटा सीमा उचित रहस्य प्रबंधन के विकल्प नहिं अछि — ई एकटा अंतिम रक्षा लाइन अछि जकर अहाँ आशा करैत छी जे अहाँ के कहियो जरूरत नहिं पड़त. एआई एपीआई खाता पर कठिन मासिक खर्च सीमा निर्धारित करनाय आब टेबल दांव अछि, मुदा असली सुरक्षा ई सुनिश्चित करब अछि जे ओ क्रेडेंशियल पहिल बेर कहियो लीक नहि हो.

संक्रमण करय वाला टीमक कें लेल व्यावहारिक कदम

जँ अहाँक टीम पुरान मानसिक मॉडलक तहत गूगल एपीआई एकीकरण बना रहल अछि आ आब मिथुन राशि केँ ढेर मे जोड़ि रहल अछि, त' एतय एकटा यथार्थवादी सुधार चेकलिस्ट अछि:

  1. मौजूदा भंडार क तुरंत ऑडिट करू. truffleHog अथवा gitleaks कए अपन पूरा गिट इतिहास क विरुद्ध चलाउ, केवल वर्तमान HEAD क विरुद्ध नहि. खास क' कोनो एहन भंडार पर ध्यान दियौ जे पहिने गूगल एपीआई कुंजी उपयोग केने हो.
  2. सब उजागर कुंजी घुमाउ. जँ कोनो मिथुन कुंजी कहियो कोनो कमिट मे देखाएल अछि, तँ मानू जे ओकरा समझौता कएल गेल अछि. एकरा निरस्त करू आ नव उत्पन्न करू। ई आकलन करबाक प्रयास नहि करू जे कियो "वास्तव मे" भेटल अछि कि नहि.
  3. प्री-कमिट स्कैनिंग लागू करू. हर डेवलपर कें मशीन पर आ सीआई/सीडी पाइपलाइन मे गुप्त पता लगावय कें हुक कें गैर-बाईपास करय योग्य गेट कें रूप मे स्थापित करूं.
  4. एकटा प्रमुख इन्वेंट्री स्थापित करू. ई जानू जे कोन सेवा मे कोन क्रेडेंशियल अछि, ओकर मालिक के अछि, ओकरा अंतिम बेर कहिया घुमाओल गेल छल, आओर ओकर उपयोग कतय कएल गेल अछि. स्प्रेडशीट एकटा नीक प्रारंभिक बिंदु अछि; एकटा रहस्य प्रबंधक गंतव्य अछि।
  5. बिलिंग अलर्ट आओर हार्ड सीमा सेट करू. हर एआई एपीआई खाता पर, अपन अपेक्षित मासिक खर्चक 50% आओर 80% पर अलर्ट कॉन्फ़िगर करू, आओर हार्ड सीमा सेट करू जे विनाशकारी बिलिंग घटना केँ रोकत.
  6. नव मानसिक मॉडल कें स्पष्ट रूप सं दस्तावेजीकरण करूं. अपन टीम कें ऑनबोर्डिंग सामग्री आ इंजीनियरिंग हैंडबुक कें अपडेट करूं ताकि स्पष्ट रूप सं कहल जा सकय कि मिथुन एपीआई कुंजी उच्च संवेदनशीलता वाला क्रेडेंशियल छै जेकरा भुगतान प्रोसेसर रहस्य कें समान उपचार कें आवश्यकता छै.

प्लेटफॉर्म-निर्भर व्यवसायक लेल व्यापक पाठ

मिथुन राशि केरऽ स्थिति एगो ऐन्हऽ पैटर्न क॑ दर्शाबै छै जे थर्ड-पार्टी प्लेटफॉर्मऽ के साथ गहराई स॑ एकीकृत कोनो भी व्यवसाय क॑ प्रभावित करै छै: प्लेटफॉर्म के विकास होय छै, आरू सुरक्षा मुद्रा केरऽ आवश्यकता ओकरा साथ विकसित होय छै, लेकिन वू प्लेटफॉर्मऽ के उपयोग करै वाला टीमऽ के संस्थागत आदत अक्सर तालमेल नै चलै छै । काल्हि जे सुरक्षित छल से आइ खतरनाक अछि, आ ओहि दुनू राज्यक बीचक अंतर ओतहि अछि जतय उल्लंघन होइत अछि।

ई विशेष रूप सं जटिल परिचालन ढेर चलाबै वाला व्यवसायक कें लेल तीव्र छै. ग्राहक सेवा, विश्लेषणात्मकता, सामग्री जनरेशन, आ उत्पाद सिफारिशक कें पार एआई संचालित सुविधाक कें उपयोग करय वाला कंपनी कें पास एक दर्जन अलग-अलग संदर्भक मे मिथुन एकीकरण भ सकय छै — प्रत्येक एकटा संभावित एक्सपोजर बिंदु अगर क्रेडेंशियल कें असंगत रूप सं संभालल जाय छै. एकरऽ समाधान खाली बेहतर व्यक्तिगत विकासक आदत नै छै; ई वास्तुशिल्पक अछि। क्रेडेंशियल पहुँच कें केंद्रीकृत, ऑडिट करनाय, आ प्लेटफॉर्म स्तर पर नियंत्रित करनाय कें जरूरत छै.

आधुनिक व्यवसायिक ऑपरेटिंग सिस्टम कें तेजी सं एकरा ध्यान मे राखयत डिजाइन कैल जायत छै. जखन मेवेज अपन सूट भर मे एआई क्षमता कें एकीकृत करयत छै — बुद्धिमान सीआरएम कार्यप्रवाह सं ल क अपन 207-मॉड्यूल पारिस्थितिकी तंत्र मे स्वचालित विश्लेषणात्मकता तइक — तखन क्रेडेंशियल प्रबंधन कें संभालल जायत छै बुनियादी ढांचे कें परत पर, एप्लीकेशन परत पर नहि. व्यक्तिगत मॉड्यूल डेवलपर कच्चा एपीआई कुंजी कें संभाल नहि करएयत छै; ओ अमूर्त परतक कें माध्यम सं क्षमता कें उपयोग करय छै जे रोटेशन नीतियक कें लागू करय छै, ऑडिट पहुंच कें लागू करय छै, आ अगर किछ गलत भ जाय त ब्लास्ट त्रिज्या कें सीमित करय छै. ई वू वास्तुकला छै जेकरऽ मांग मिथुन युग म॑ छै: खाली बेहतर आदत नै, बल्कि बेहतर सिस्टम जे सही आदत क॑ एकमात्र उपलब्ध विकल्प बनाबै छै ।

गूगल न॑ मैप्स आरू यूट्यूब लेली एगो अनुमत एपीआई कुंजी मॉडल बनाबै म॑ गलती नै करलकै । ओ मॉडल ओहि सेवा क लेल उपयुक्त छल। लेकिन जेना-जेना एपीआई केरऽ क्षमता आरू लागत प्रोफाइल नाटकीय रूप स॑ विकसित होय जाय छै — आरू जैन्हऽ कि एआई एपीआई वू विकास म॑ शायद सबसें तेज विभक्ति बिंदु के प्रतिनिधित्व करै छै — पूरा उद्योग क॑ अपनऽ डिफ़ॉल्ट क॑ रीसेट करै के जरूरत छै । एहि परिवेश मे जे डेवलपर पनपत ओ ओ नहि हेताह जे पुरान नियम केँ बेसी नीक जकाँ सीखने हेताह, बल्कि ओ ओ हेताह जे नियम मे मौलिक रूप सँ परिवर्तन कखन आबि गेल अछि.

बार-बार पूछल जाय वाला प्रश्न

गूगल एपीआई कुंजी ऐतिहासिक रूप सँ सार्वजनिक रूप सँ उजागर करबाक लेल सुरक्षित किएक मानल गेल छल?

गूगल न॑ अपनऽ बहुत सारा एपीआई — नक्शा, यूट्यूब, स्थान — क॑ क्लाइंट-साइड उपयोग लेली डिजाइन करलकै, मतलब कुंजी क॑ जानबूझ क॑ फ्रंट-एंड कोड म॑ एम्बेड करलऽ गेलऽ छेलै जे ककरो भी दिखाई दै छै । सुरक्षा मॉडल कुंजी गोपनीयता कें बजाय डोमेन अनुमति सूची आ रेफरर जांच जैना उपयोग प्रतिबंधक पर निर्भर छल. वर्षों तक, एक उजागर कुंजी क॑ विन्यास मुद्दा मानलऽ जाय छेलै, नै कि एगो महत्वपूर्ण भेद्यता जेकरा लेली तत्काल घुमाव के जरूरत होय छै.

जखन गूगल जेमिनी एपीआई कुंजी शुरू केलक तखन की बदलल?

विरासत गूगल एपीआई कें विपरीत, जेमिनी एपीआई कुंजी पारंपरिक रहस्य कें तरह बेसि काज करय छै — एकटा कें उजागर करय कें परिणामस्वरूप अहां कें बिलिंग खाता पर अनधिकृत शुल्क, मॉडल कें दुरुपयोग, या कोटा थकान भ सकय छै जइ मे अहां कें बचावय कें लेल कोनों अंतर्निहित डोमेन प्रतिबंध नहि छै. बदलाव के मतलब छै कि डेवलपर क॑ अब॑ जेमिनी कुंजी क॑ वू अनुशासन स॑ व्यवहार करना चाहियऽ जेना कि AWS क्रेडेंशियल या स्ट्राइप गुप्त कुंजी, ओकरा सर्वर-साइड म॑ संग्रहीत करलऽ जाय आरू कभियो क्लाइंट-फेसिंग कोड म॑ नै.

डेवलपर कए आइ एआई सेवा क लेल एपीआई कुंजी कए सुरक्षित रूप स कोना प्रबंधित करबाक चाही?

सब सं नीक अभ्यास इ छै की सबटा एआई एपीआई कुंजी कें सर्वर पर वातावरण चर कें रूप मे संग्रहीत करनाय, कहियो संस्करण-नियंत्रित फाइल या क्लाइंट बंडल मे नहि. एकटा रहस्य प्रबंधक कें उपयोग करूं, कुंजी कें नियमित रूप सं घुमाऊं, आ प्रदाता स्तर पर खर्च कें सीमा निर्धारित करूं. Mewayz जैसनऽ प्लेटफार्म — app.mewayz.com प॑ उपलब्ध $19/mo म॑ एक 207-मॉड्यूल बिजनेस ओएस — अपनऽ बुनियादी ढाँचा के भीतर एपीआई क्रेडेंशियल प्रबंधन क॑ संभाल॑ छै ताकि टीम मैन्युअल रूप स॑ सेवा भर म॑ कुंजी क॑ जुगाड़ नै करी रहलऽ छै.

जँ हम गलतीसँ मिथुन एपीआई कुंजीकेँ पहिनेसँ उजागर कएने छी तँ हमरा की करबाक चाही ?

गूगल क्लाउड कंसोल के माध्यम सं तुरंत समझौता कुंजी के निरस्त करू आओर कोनो आओर काज करय सं पहिने एकटा प्रतिस्थापन उत्पन्न करू. अप्रत्याशित उपयोग स्पाइक कें लेल अपन बिलिंग डैशबोर्ड कें ऑडिट करूं जे इ इंगित कयर सकय छै की कुंजी कें कटाई कैल गेल छै. तखन अपन कोडबेस, सीआई/सीडी वातावरण चर, आओर अन्य लीक क्रेडेंशियल कें लेल कोनों सार्वजनिक भंडार कें समीक्षा करूं. घटनाक संग ओहिना व्यवहार करू जेना अहाँ कोनो उजागर भुगतान क्रेडेंशियल करब — मानि लिअ जे ई भेटल अछि आ तदनुसार काज करू.