Hacker News

Google API കീകൾ രഹസ്യമായിരുന്നില്ല, എന്നാൽ പിന്നീട് ജെമിനി നിയമങ്ങൾ മാറ്റി

അഭിപ്രായങ്ങൾ

2 min read Via trufflesecurity.com

Mewayz Team

Editorial Team

Hacker News

"പബ്ലിക് ബൈ ഡിസൈൻ" ഒരു സുരക്ഷാ ബാധ്യതയാകുമ്പോൾ

ഏകദേശം രണ്ട് പതിറ്റാണ്ടുകളായി, ഗൂഗിളിൻ്റെ ആവാസവ്യവസ്ഥയിൽ നിർമ്മിക്കുന്ന ഡെവലപ്പർമാർ സൂക്ഷ്മവും എന്നാൽ പ്രധാനപ്പെട്ടതുമായ ഒരു പാഠം പഠിച്ചു: Google API കീകൾ യഥാർത്ഥത്തിൽ രഹസ്യങ്ങളല്ല. നിങ്ങൾ ഒരു JavaScript ഫയലിൽ YouTube ഡാറ്റ API കീ ഉൾച്ചേർക്കുകയാണെങ്കിൽ, Google പരിഭ്രാന്തരാകില്ല. നിങ്ങളുടെ മാപ്‌സ് API കീ ഒരു പൊതു GitHub ശേഖരണത്തിൽ കാണിച്ചാൽ, സുരക്ഷാ പ്രതികരണം അടിസ്ഥാനപരമായി ഒരു ഷ്രഗ്ഗും ഡൊമെയ്ൻ നിയന്ത്രണങ്ങൾ സജ്ജീകരിക്കുന്നതിനുള്ള ഒരു ഓർമ്മപ്പെടുത്തലും ആയിരുന്നു. DevTools തുറക്കുന്ന ഏതൊരാൾക്കും തുറന്നുകാട്ടപ്പെടുന്ന, ക്ലയൻ്റ് സൈഡ് കോഡിൽ ഈ കീകൾ നിലനിൽക്കുമെന്ന അനുമാനത്തെ അടിസ്ഥാനമാക്കിയാണ് മുഴുവൻ മോഡലും നിർമ്മിച്ചിരിക്കുന്നത്.

ആ തത്ത്വചിന്ത വളരെക്കാലത്തേക്ക് അർത്ഥവത്താക്കി. ഡൊമെയ്ൻ നിയന്ത്രണങ്ങളില്ലാതെ തുറന്നുകാട്ടപ്പെട്ട ഒരു മാപ്‌സ് API കീ ഒരു സർപ്രൈസ് ബിൽ റാക്ക് ചെയ്‌തേക്കാം, പക്ഷേ അത് രോഗിയുടെ രേഖകളിൽ വിട്ടുവീഴ്ച ചെയ്യാനോ ബാങ്ക് അക്കൗണ്ട് ഇല്ലാതാക്കാനോ പോകുന്നില്ല. സ്ഫോടനത്തിൻ്റെ പരിധി സാമ്പത്തികവും കൈകാര്യം ചെയ്യാവുന്നതുമായിരുന്നു. Google-ൻ്റെ ടൂളിംഗ് - റഫറർ നിയന്ത്രണങ്ങൾ, IP വൈറ്റ്‌ലിസ്റ്റിംഗ്, ക്വാട്ട പരിധികൾ - കേടുപാടുകൾ ഉൾക്കൊള്ളാൻ രൂപകൽപ്പന ചെയ്തിട്ടുള്ളതാണ്, എക്സ്പോഷർ പൂർണ്ണമായും തടയുകയല്ല.

പിന്നെ ജെമിനി എത്തി, നിയമങ്ങൾ മാറി. ദശലക്ഷക്കണക്കിന് ഡെവലപ്പർമാർക്ക് മെമ്മോ ലഭിച്ചില്ല എന്നതാണ് പ്രശ്നം.

ഇപ്പോൾ ഡെവലപ്പർമാരെ ചുട്ടുകളയുന്ന ലെഗസി മെൻ്റൽ മോഡൽ

പഴയ Google ഡവലപ്പർ അനുഭവം മനഃപൂർവം അനുവദനീയമായിരുന്നു. നിങ്ങൾ Maps JavaScript API കീ സൃഷ്‌ടിച്ചപ്പോൾ, അത് നിങ്ങളുടെ HTML-ലേക്ക് നേരിട്ട് ഡ്രോപ്പ് ചെയ്യാൻ ഡോക്യുമെൻ്റേഷൻ നിങ്ങളെ പ്രോത്സാഹിപ്പിച്ചു. സുരക്ഷാ മോഡൽ രഹസ്യമായിരുന്നില്ല - അത് നിയന്ത്രണമായിരുന്നു. നിങ്ങളുടെ ഡൊമെയ്‌നിലേക്കുള്ള കീ ലോക്ക് ചെയ്‌ത് ക്വാട്ട അലേർട്ടുകൾ സജ്ജീകരിച്ച് മുന്നോട്ട് പോകും. ഇത് പ്രായോഗിക എഞ്ചിനീയറിംഗ് ആയിരുന്നു: ക്ലയൻ്റ് സൈഡ് ആപ്ലിക്കേഷനുകൾക്ക് നിശ്ചയദാർഢ്യമുള്ള ഉപയോക്താക്കളിൽ നിന്ന് രഹസ്യങ്ങൾ സൂക്ഷിക്കാൻ കഴിയില്ല, അതിനാൽ ആ യാഥാർത്ഥ്യം അംഗീകരിക്കുന്ന ഒരു സിസ്റ്റം Google നിർമ്മിച്ചു.

ഇത് ഡെവലപ്പർമാരുടെ ഒരു തലമുറയെ സൃഷ്ടിച്ചു - അതിലും പ്രധാനമായി, സ്ഥാപനപരമായ ശീലങ്ങളുടെ ഒരു തലമുറ - ഇവിടെ Google API കീകൾ ഒരു സ്ട്രൈപ്പ് രഹസ്യ കീ അല്ലെങ്കിൽ AWS ആക്‌സസ് ക്രെഡൻഷ്യലിൽ നിന്ന് വ്യത്യസ്തമായ ഒരു മാനസിക വിഭാഗം ഉൾക്കൊള്ളുന്നു. നിങ്ങളുടെ സ്ട്രൈപ്പ് രഹസ്യ കീ ഒരു പൊതു റിപ്പോയിൽ ഒട്ടിക്കില്ല. എന്നാൽ നിങ്ങളുടെ മാപ്സ് കീ? അത് പ്രായോഗികമായി ഒരു കോൺഫിഗറേഷൻ മൂല്യമായിരുന്നു, ഒരു രഹസ്യമല്ല. NEXT_PUBLIC_ അല്ലെങ്കിൽ REACT_APP_ പ്രിഫിക്‌സ് ചെയ്‌ത ക്ലയൻ്റ്-സൈഡ് എൻവയോൺമെൻ്റ് വേരിയബിളുകളിൽ പോലും പല ടീമുകളും അവ പബ്ലിക് ഫെയ്സിംഗ് കോൺഫിഗറേഷൻ ഫയലുകളിലും README ഫയലുകളിലും സംഭരിച്ചു.

എക്സ്പോസ്ഡ് ക്രെഡൻഷ്യലുകൾക്കായി GitHub സ്കാൻ ചെയ്യുന്ന സുരക്ഷാ ഗവേഷകർ Google API കീകൾ വ്യത്യസ്തമായി കൈകാര്യം ചെയ്യാൻ പഠിച്ചു. ചോർന്ന മാപ്‌സ് കീ കുറഞ്ഞ തീവ്രതയുള്ള കണ്ടെത്തലായിരുന്നു. ചോർന്ന ജെമിനി കീ തികച്ചും വ്യത്യസ്തമായ സംഭാഷണമാണ്.

ജെമിനിയിൽ എന്ത് മാറ്റമുണ്ടായി - എന്തുകൊണ്ട് ഇത് പ്രധാനമാണ്

Google-ൻ്റെ ജെമിനി API പഴയ പ്ലേബുക്ക് പിന്തുടരുന്നില്ല. ഗൂഗിൾ എഐ സ്റ്റുഡിയോ വഴി നിങ്ങൾ ജെമിനി എപിഐ കീ ജനറേറ്റ് ചെയ്യുമ്പോൾ, മാപ്സിനേക്കാളും യൂട്യൂബ് കീയേക്കാളും അടിസ്ഥാനപരമായി വ്യത്യസ്തമായ റിസ്ക് പ്രൊഫൈലുള്ള ഒരു ക്രെഡൻഷ്യലാണ് നിങ്ങൾ സൃഷ്ടിക്കുന്നത്. ജെമിനി കീകൾ വലിയ ഭാഷാ മോഡൽ അനുമാനത്തിലേക്കുള്ള ആക്‌സസ് ആധികാരികമാക്കുന്നു — ഗൂഗിളിൻ്റെ യഥാർത്ഥ കമ്പ്യൂട്ട് റിസോഴ്‌സുകൾ ചിലവാക്കുന്ന ഒരു സേവനം, പേജ് കാഴ്‌ചയിലൂടെയല്ല ടോക്കൺ പ്രകാരമാണ് നിങ്ങൾക്ക് ബിൽ നൽകുന്നത്.

കൂടുതൽ വിമർശനാത്മകമായി, മറ്റ് Google കീകൾ തുറന്നുകാട്ടുന്നത് അതിജീവിക്കാൻ കഴിയുന്ന അതേ ബിൽറ്റ്-ഇൻ ഡൊമെയ്ൻ നിയന്ത്രണ സംവിധാനങ്ങൾ ജെമിനി API കീകൾക്ക് ഇല്ല. ഒരു പബ്ലിക് റിപ്പോസിറ്ററിയിൽ നിങ്ങളുടെ കീ കണ്ടെത്തിയ ആക്രമണകാരിയെ മറ്റൊരു രാജ്യത്തെ സെർവറിൽ നിന്ന് നിങ്ങളുടെ ക്വാട്ട - അല്ലെങ്കിൽ നിങ്ങളുടെ ബില്ലിംഗ് പരിധി - ഉപയോഗിക്കുന്നതിൽ നിന്നും തടയുന്ന ലളിതമായ "ഇത് എൻ്റെ വെബ്‌സൈറ്റിൻ്റെ ഡൊമെയ്‌നിലേക്ക് ലോക്ക് ചെയ്യുക" നിയന്ത്രണമില്ല.

അപകടം സാമ്പത്തികം മാത്രമല്ല. ഹാനികരമായ ഉള്ളടക്കം സൃഷ്‌ടിക്കുന്നതിനും, പെട്ടെന്നുള്ള കുത്തിവയ്പ്പ് ആക്രമണങ്ങൾ നടത്തുന്നതിനും അല്ലെങ്കിൽ Google-ൻ്റെ സേവന നിബന്ധനകൾ ലംഘിക്കുന്ന ടൂളുകൾ നിർമ്മിക്കുന്നതിനും ഒരു എക്‌സ്‌പോസ്‌ഡ് ജെമിനി കീ ഉപയോഗിക്കാം - എല്ലാം നിങ്ങളുടെ അക്കൗണ്ടിലേക്ക് ബില്ലുചെയ്‌ത് നിങ്ങളുടെ ഐഡൻ്റിറ്റിയിലേക്ക് തിരികെ കണ്ടെത്താനാകും.

2024-ൽ, GitHub-ൽ മാത്രം ആയിരക്കണക്കിന് വെളിപ്പെട്ട ജെമിനി API കീകൾ സുരക്ഷാ ഗവേഷകർ തിരിച്ചറിഞ്ഞു, അവയിൽ പലതും മുമ്പ് മറ്റ് Google API കീകൾ ഹോസ്റ്റ് ചെയ്‌ത ശേഖരണങ്ങളിലാണ്. ഡെവലപ്പർമാർ അവരുടെ സ്വന്തം ചരിത്രപരമായ മാനദണ്ഡങ്ങളാൽ അശ്രദ്ധരായിരുന്നില്ല - അവർ ഉപയോഗിക്കാൻ ഗൂഗിൾ തന്നെ പരിശീലിപ്പിച്ച ഒരു മാനസിക മാതൃകയാണ് അവർ പ്രയോഗിക്കുന്നത്. ശീലങ്ങളേക്കാൾ വേഗത്തിൽ പരിസ്ഥിതി മാറി.

ആക്‌സിഡൻ്റൽ എക്‌സ്‌പോഷറിൻ്റെ ശരീരഘടന

ഈ എക്‌സ്‌പോഷറുകൾ എങ്ങനെ സംഭവിക്കുന്നുവെന്ന് മനസിലാക്കുക എന്നതാണ് അവയെ തടയുന്നതിനുള്ള ആദ്യപടി. എല്ലാ വലുപ്പത്തിലുമുള്ള ടീമുകളിലുടനീളം പരാജയ മോഡുകൾ ശ്രദ്ധേയമായി പൊരുത്തപ്പെടുന്നു:

  • എൻവയോൺമെൻ്റ് വേരിയബിൾ മിസ്‌ക്ലാസിഫിക്കേഷൻ: Google മാപ്‌സ് കീകൾ ഉപയോഗിക്കുന്ന ഡെവലപ്പർമാർ ജെമിനി കീകളെ NEXT_PUBLIC_ അല്ലെങ്കിൽ VITE_ ഉപയോഗിച്ച് പ്രിഫിക്‌സ് ചെയ്യുന്നു, അവയെ ബണ്ടിൽ ചെയ്‌ത ക്ലയൻ്റ്-സൈഡ് കോഡിൽ തൽക്ഷണം വെളിപ്പെടുത്തുന്നു.
  • റിപ്പോസിറ്ററി ചരിത്ര മലിനീകരണം: ഒരു കോൺഫിഗറേഷൻ ഫയലിലേക്ക് ഒരു കീ ചേർത്തു, കമ്മിറ്റ് ചെയ്‌ത ശേഷം നീക്കം ചെയ്‌തു — എന്നാൽ git ചരിത്രം അനിശ്ചിതമായി തിരയാനാകും. ആക്രമണകാരികൾ truffleHog, gitleaks എന്നിവ പോലുള്ള ഉപകരണങ്ങൾ പ്രത്യേകമായി ഈ ചരിത്രം ഖനനം ചെയ്യാൻ ഉപയോഗിക്കുന്നു.
  • നോട്ട്ബുക്കും പ്രോട്ടോടൈപ്പ് ചോർച്ചയും: ജൂപ്പിറ്റർ നോട്ട്ബുക്കുകളിൽ ജെമിനി സംയോജനത്തിൻ്റെ പ്രോട്ടോടൈപ്പ് ചെയ്യുന്ന ഡാറ്റ ശാസ്ത്രജ്ഞർ സെൽ ഔട്ട്പുട്ടുകളിൽ ഉൾച്ചേർത്ത കീകൾ ഉപയോഗിച്ച് ആ നോട്ട്ബുക്കുകളെ GitHub-ലേക്ക് തള്ളുന്നു.
  • CI/CD തെറ്റായ കോൺഫിഗറേഷൻ: റിപ്പോസിറ്ററി രഹസ്യങ്ങളായി സംഭരിച്ചിരിക്കുന്ന കീകൾ GitHub പ്രവർത്തനങ്ങളിലോ സമാന പ്ലാറ്റ്‌ഫോമുകളിലോ പൊതുവായി ദൃശ്യമാകുന്ന ബിൽഡ് ലോഗുകളിൽ ആകസ്മികമായി പ്രതിധ്വനിക്കുന്നു.
  • മൂന്നാം കക്ഷി സേവന വ്യാപനം: ആ പ്ലാറ്റ്‌ഫോമുകളുടെ സുരക്ഷാ പോസ്‌ചറുകൾ അവലോകനം ചെയ്യാതെ ഡവലപ്പർമാർ അനലിറ്റിക്‌സ് ഡാഷ്‌ബോർഡുകളിലേക്കോ കോഡ്-നോ-കോഡ് ടൂളുകളിലേക്കോ ഇൻ്റഗ്രേഷൻ പ്ലാറ്റ്‌ഫോമുകളിലേക്കോ കീകൾ ഒട്ടിക്കുന്നു.
  • ടീം കമ്മ്യൂണിക്കേഷൻ ചാനലുകൾ: സ്ലാക്ക്, ഡിസ്‌കോർഡ് അല്ലെങ്കിൽ ഇമെയിലിലൂടെ പങ്കിട്ട കീകൾ റൊട്ടേഷൻ ഷെഡ്യൂളിനെ മറികടക്കുന്ന തിരയാനാകുന്ന സന്ദേശ ചരിത്രങ്ങളിൽ അവസാനിക്കുന്നു.

സാധാരണ ത്രെഡ് അശ്രദ്ധയല്ല - ഇത് സന്ദർഭ തകർച്ചയാണ്. ഒരു സന്ദർഭത്തിൽ സുരക്ഷിതമായ പെരുമാറ്റങ്ങൾ (Google മാപ്‌സ് വികസനം) മറ്റൊന്നിൽ അപകടകരമാണ് (ജെമിനി വികസനം), കൂടാതെ ക്രെഡൻഷ്യലുകളുടെ ദൃശ്യപരമായ സാമ്യം വ്യത്യാസം എളുപ്പമാക്കുന്നു.

സ്കെയിൽ ചെയ്യുന്ന ഒരു രഹസ്യ മാനേജ്മെൻ്റ് സംസ്കാരം കെട്ടിപ്പടുക്കുന്നു

പല ഡെവലപ്‌മെൻ്റ് ടീമുകളും മാറ്റിവയ്ക്കുന്ന കാര്യത്തിന് ജെമിനി സാഹചര്യം ഉപയോഗപ്രദമായ ഒരു പ്രവർത്തനമാണ്: അഡ്-ഹോക്ക് സമീപനങ്ങളേക്കാൾ യഥാർത്ഥ രഹസ്യ മാനേജ്‌മെൻ്റ് ഇൻഫ്രാസ്ട്രക്ചർ നിർമ്മിക്കുക. ചെറിയ ടീമുകൾക്ക്, ഇത് അമിത എഞ്ചിനീയറിംഗ് പോലെ തോന്നിയേക്കാം, എന്നാൽ ഒരു ക്രെഡൻഷ്യൽ എക്‌സ്‌പോഷറിൻ്റെ ചിലവ് - ബില്ലിംഗ് തട്ടിപ്പ്, അക്കൗണ്ട് സസ്പെൻഷൻ, ഡാറ്റാ ലംഘന അറിയിപ്പുകൾ - ഇത് ശരിയാക്കാനുള്ള ശ്രമത്തെക്കാൾ കൂടുതലാണ്.

ആധുനിക രഹസ്യ മാനേജുമെൻ്റ് ഒരു ശ്രേണിപരമായ സമീപനമാണ് പിന്തുടരുന്നത്. ഇൻഫ്രാസ്ട്രക്ചർ തലത്തിൽ, HashiCorp Vault, AWS സീക്രട്ട്സ് മാനേജർ അല്ലെങ്കിൽ ഗൂഗിൾ സീക്രട്ട് മാനേജർ പോലുള്ള ഉപകരണങ്ങൾ ഓട്ടോമാറ്റിക് റൊട്ടേഷൻ കഴിവുകളുള്ള കേന്ദ്രീകൃതവും ഓഡിറ്റ് ചെയ്യാവുന്നതുമായ ക്രെഡൻഷ്യൽ സ്റ്റോറേജ് നൽകുന്നു. ഇവ വൻകിട സംരംഭങ്ങൾക്ക് മാത്രമല്ല - ഡോപ്ലർ, ഇൻഫിസിക്കൽ തുടങ്ങിയ സേവനങ്ങൾ രണ്ടോ മൂന്നോ ഡവലപ്പർമാരുടെ ടീമുകൾക്ക് ആക്‌സസ് ചെയ്യാവുന്ന വില പോയിൻ്റുകളിൽ ഒരേ പാറ്റേണുകൾ നൽകുന്നു.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

കോഡ് തലത്തിൽ, അച്ചടക്കം ലളിതമാണ്: ക്രെഡൻഷ്യലുകൾ ഒരിക്കലും സോഴ്സ് കോഡിൽ സ്പർശിക്കില്ല. ഫുൾ സ്റ്റോപ്പ്. കമൻ്റ്-ഔട്ട് ലൈനുകളിലല്ല, ഉദാഹരണ ഫയലുകളിലല്ല, യഥാർത്ഥമായി മാറുന്ന വ്യാജ രൂപത്തിലുള്ള മൂല്യങ്ങളുള്ള ടെസ്റ്റ് ഫിക്‌ചറുകളിലല്ല. റിമോട്ട് റിപ്പോസിറ്ററികളിൽ എത്തുന്നതിന് മുമ്പ് ഡിറ്റക്റ്റ്-സീക്രട്ട്സ് അല്ലെങ്കിൽ gitleaks പോലുള്ള റണ്ണിംഗ് ടൂളുകൾ പ്രീ-കമ്മിറ്റ് ഹുക്കുകൾ. ഈ ഹുക്കുകൾ കോൺഫിഗർ ചെയ്യാൻ മിനിറ്റുകൾ എടുക്കുകയും നിങ്ങളുടെ സംഭവ പ്രതികരണ ഉത്കണ്ഠ ഒഴിവാക്കുകയും ചെയ്യുന്നു.

സങ്കീർണ്ണമായ പ്രവർത്തന സ്റ്റാക്കുകൾ പ്രവർത്തിക്കുന്ന ഓർഗനൈസേഷനുകൾക്ക് - CRM വർക്ക്ഫ്ലോകൾ മുതൽ പേറോൾ സംയോജനങ്ങൾ, ഉപഭോക്താവിനെ അഭിമുഖീകരിക്കുന്ന ബുക്കിംഗ് സംവിധാനങ്ങൾ വരെ എല്ലാം കൈകാര്യം ചെയ്യുന്നു - കേന്ദ്രീകൃത ക്രെഡൻഷ്യൽ മാനേജ്മെൻ്റ് കൂടുതൽ നിർണായകമാണ്. ഒരൊറ്റ പ്രവർത്തന കുടക്കീഴിൽ 207 ബിസിനസ് മൊഡ്യൂളുകളെ ഏകീകരിക്കുന്ന Mewayz പോലുള്ള പ്ലാറ്റ്‌ഫോമുകൾ ഈ തത്വം ഉപയോഗിച്ചാണ് നിർമ്മിച്ചിരിക്കുന്നത്: ക്രെഡൻഷ്യലുകളും API ഇൻ്റഗ്രേഷനുകളും പ്ലാറ്റ്‌ഫോം തലത്തിലാണ് കൈകാര്യം ചെയ്യുന്നത്, വ്യക്തിഗത മൊഡ്യൂളുകളിലോ വ്യക്തിഗത ഡെവലപ്പർമാരുടെ പരിതസ്ഥിതികളിലോ ചിതറിക്കിടക്കുന്നില്ല. ഒരു കീ റൊട്ടേറ്റ് ചെയ്യേണ്ടിവരുമ്പോൾ, അത് ഒരിക്കൽ സംഭവിക്കുന്നു, ഒരിടത്ത്, പതിനേഴു വ്യത്യസ്ത ഇൻ്റഗ്രേഷൻ പോയിൻ്റുകളിലല്ല.

ബില്ലിംഗ് അറ്റാക്ക് വെക്റ്റർ: ഒരു ത്രെറ്റ് മോഡൽ ഡെവലപ്പർമാർ കുറച്ചുകാണുന്നു

സുരക്ഷാ ചർച്ചകൾ പലപ്പോഴും ഡാറ്റാ ലംഘനങ്ങളിലും അനധികൃത ആക്‌സസിലും ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു. ജെമിനി എക്‌സ്‌പോഷർ പ്രശ്‌നം തുല്യ ശ്രദ്ധ അർഹിക്കുന്ന മൂന്നാമത്തെ ഭീഷണി മോഡൽ ചേർക്കുന്നു: സ്കെയിലിൽ ബില്ലിംഗ് തട്ടിപ്പ്.

വലിയ ഭാഷാ മാതൃക അനുമാനം ചെലവേറിയതാണ്. GPT-4 ഉം ജെമിനി അൾട്രായും ഒരു സെൻ്റിൻ്റെ അംശങ്ങളിൽ ടോക്കണുകൾ പ്രോസസ്സ് ചെയ്യുന്നു, എന്നാൽ സ്കെയിലിൽ - ആയിരക്കണക്കിന് അഭ്യർത്ഥനകൾ, ദശലക്ഷക്കണക്കിന് ടോക്കണുകൾ - ആ ഭിന്നസംഖ്യകൾ വളരെ വേഗത്തിൽ ആയിരക്കണക്കിന് ഡോളർ വരെ കൂട്ടിച്ചേർക്കുന്നു. തുറന്നുകാട്ടപ്പെട്ട AI API കീകൾ കണ്ടെത്തുന്ന ആക്രമണകാരികൾക്ക് നിങ്ങളുടെ ഡാറ്റ ആവശ്യമില്ല. അവർക്ക് സൗജന്യ കമ്പ്യൂട്ട് വേണം. ബിൽ നിങ്ങളിലേക്ക് പോകുമ്പോൾ, അവർ സ്വന്തം AI സേവനങ്ങൾ പ്രവർത്തിപ്പിക്കുന്നതിനും അനുമാന ശേഷി പുനർവിൽപ്പനയ്‌ക്കുന്നതിനും അല്ലെങ്കിൽ അവരുടെ ആപ്ലിക്കേഷനുകൾ സമ്മർദ്ദം-പരീക്ഷിക്കുന്നതിനും നിങ്ങളുടെ ക്രെഡൻഷ്യലുകൾ ഉപയോഗിക്കും.

ഒരു ഡവലപ്പർ ആറ് മണിക്കൂറിൽ താഴെ സമയം ഒരു പൊതു ശേഖരണത്തിൽ തുറന്നിരിക്കുന്ന ജെമിനി കീയിൽ നിന്ന് $23,000 ബില്ലായി ഉണർന്നതായി രേഖപ്പെടുത്തി. ഗൂഗിളിൻ്റെ വഞ്ചന കണ്ടെത്തുന്നത് വരെ തുടർച്ചയായി ഉയർന്ന ത്രൂപുട്ട് ജനറേഷൻ ടാസ്‌ക്കുകൾ നടത്തിക്കൊണ്ടിരുന്ന ആക്രമണകാരി ചൂഷണം ഉടനടി ഓട്ടോമേറ്റ് ചെയ്‌തു. ഒരു നീണ്ട തർക്ക പ്രക്രിയയ്ക്ക് ശേഷം ഡെവലപ്പർക്ക് ആത്യന്തികമായി ചാർജുകൾ തിരിച്ചെടുത്തു, എന്നാൽ ആ കാലയളവിൽ അക്കൗണ്ട് സസ്പെൻഡ് ചെയ്തു, അതുപയോഗിച്ചുള്ള പ്രൊഡക്ഷൻ സേവനങ്ങൾ എടുത്തുകളഞ്ഞു.

ഇതുകൊണ്ടാണ് ബില്ലിംഗ് അലേർട്ടുകളും ക്വാട്ട പരിധികളും ശരിയായ രഹസ്യ മാനേജ്‌മെൻ്റിന് പകരമാകാത്തത് - നിങ്ങൾക്ക് ഒരിക്കലും ആവശ്യമില്ലെന്ന് നിങ്ങൾ പ്രതീക്ഷിക്കുന്ന പ്രതിരോധത്തിൻ്റെ അവസാന നിരയാണ് അവ. AI API അക്കൗണ്ടുകളിൽ കഠിനമായ പ്രതിമാസ ചെലവ് പരിധി നിശ്ചയിക്കുന്നത് ഇപ്പോൾ ടേബിൾ സ്റ്റേക്കുകളാണ്, എന്നാൽ യഥാർത്ഥ സംരക്ഷണം ആ ക്രെഡൻഷ്യലുകൾ ഒരിക്കലും ചോർന്നൊലിക്കുന്നില്ലെന്ന് ഉറപ്പാക്കുകയാണ്.

സംക്രമണം നടത്തുന്ന ടീമുകൾക്കുള്ള പ്രായോഗിക ഘട്ടങ്ങൾ

നിങ്ങളുടെ ടീം പഴയ മാനസിക മാതൃകയിൽ Google API സംയോജനങ്ങൾ നിർമ്മിക്കുകയും ഇപ്പോൾ ജെമിനിയെ സ്റ്റാക്കിലേക്ക് ചേർക്കുകയും ചെയ്യുന്നുവെങ്കിൽ, ഇതാ ഒരു റിയലിസ്റ്റിക് റിമെഡിയേഷൻ ചെക്ക്‌ലിസ്റ്റ്:

  1. നിലവിലുള്ള റിപ്പോസിറ്ററികൾ ഉടനടി ഓഡിറ്റ് ചെയ്യുക. നിലവിലെ HEAD-ന് മാത്രമല്ല, നിങ്ങളുടെ മുഴുവൻ ജിറ്റ് ചരിത്രത്തിനും എതിരായി truffleHog അല്ലെങ്കിൽ gitleaks പ്രവർത്തിപ്പിക്കുക. മുമ്പ് Google API കീ ഉപയോഗിച്ചിട്ടുള്ള ഏതെങ്കിലും ശേഖരത്തിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുക.
  2. എല്ലാ തുറന്നുകാട്ടപ്പെട്ട കീകളും തിരിക്കുക. ഒരു കമ്മിറ്റിൽ എപ്പോഴെങ്കിലും ഒരു ജെമിനി കീ പ്രത്യക്ഷപ്പെട്ടിട്ടുണ്ടെങ്കിൽ, അത് വിട്ടുവീഴ്ച ചെയ്തതായി കരുതുക. അത് അസാധുവാക്കി പുതിയൊരെണ്ണം സൃഷ്ടിക്കുക. ആരെങ്കിലും "യഥാർത്ഥത്തിൽ" അത് കണ്ടെത്തിയോ എന്ന് വിലയിരുത്താൻ ശ്രമിക്കരുത്.
  3. പ്രീ-കമ്മിറ്റ് സ്കാനിംഗ് നടപ്പിലാക്കുക. ഓരോ ഡെവലപ്പറുടെ മെഷീനിലും CI/CD പൈപ്പ് ലൈനുകളിലും ഒരു നോൺ-ബൈപാസ് ചെയ്യാവുന്ന ഗേറ്റായി രഹസ്യ കണ്ടെത്തൽ ഹുക്കുകൾ ഇൻസ്റ്റാൾ ചെയ്യുക.
  4. ഒരു പ്രധാന ഇൻവെൻ്ററി സ്ഥാപിക്കുക. ഏതൊക്കെ സേവനങ്ങളാണ് ഏതൊക്കെ ക്രെഡൻഷ്യലുകൾ ഉള്ളത്, ആർക്കൊക്കെയാണ് ഉടമസ്ഥതയിലുള്ളത്, അവ അവസാനമായി എപ്പോൾ റൊട്ടേറ്റ് ചെയ്തു, എവിടെയാണ് ഉപയോഗിച്ചതെന്ന് അറിയുക. ഒരു സ്പ്രെഡ്ഷീറ്റ് ഒരു നല്ല ആരംഭ പോയിൻ്റാണ്; ഒരു രഹസ്യ മാനേജർ ആണ് ലക്ഷ്യസ്ഥാനം.
  5. ബില്ലിംഗ് അലേർട്ടുകളും ഹാർഡ് ലിമിറ്റുകളും സജ്ജീകരിക്കുക. ഓരോ AI API അക്കൗണ്ടിലും, നിങ്ങൾ പ്രതീക്ഷിക്കുന്ന പ്രതിമാസ ചെലവിൻ്റെ 50%, 80% എന്നിവയിൽ അലേർട്ടുകൾ കോൺഫിഗർ ചെയ്യുക, കൂടാതെ വിനാശകരമായ ബില്ലിംഗ് ഇവൻ്റുകൾ തടയുന്ന ഹാർഡ് പരിധികൾ സജ്ജീകരിക്കുക.
  6. പുതിയ മാനസിക മാതൃക വ്യക്തമായി രേഖപ്പെടുത്തുക. നിങ്ങളുടെ ടീമിൻ്റെ ഓൺബോർഡിംഗ് മെറ്റീരിയലുകളും എഞ്ചിനീയറിംഗ് ഹാൻഡ്‌ബുക്കും അപ്‌ഡേറ്റ് ചെയ്യുക, ജെമിനി API കീകൾ പേയ്‌മെൻ്റ് പ്രോസസർ രഹസ്യങ്ങളുടെ അതേ ചികിത്സ ആവശ്യമായ ഉയർന്ന സെൻസിറ്റിവിറ്റി ക്രെഡൻഷ്യലുകളാണെന്ന് വ്യക്തമായി പ്രസ്താവിക്കുക.

പ്ലാറ്റ്ഫോം-ആശ്രിത ബിസിനസുകൾക്കുള്ള വിശാലമായ പാഠം

മൂന്നാം കക്ഷി പ്ലാറ്റ്‌ഫോമുകളുമായി ആഴത്തിൽ സംയോജിപ്പിച്ചിരിക്കുന്ന ഏതൊരു ബിസിനസിനെയും ബാധിക്കുന്ന ഒരു പാറ്റേൺ ജെമിനി സാഹചര്യം ചിത്രീകരിക്കുന്നു: പ്ലാറ്റ്‌ഫോമുകൾ വികസിക്കുന്നു, സുരക്ഷാ നില ആവശ്യകതകൾ അവയ്‌ക്കൊപ്പം വികസിക്കുന്നു, എന്നാൽ ആ പ്ലാറ്റ്‌ഫോമുകൾ ഉപയോഗിക്കുന്ന ടീമുകളുടെ സ്ഥാപനപരമായ ശീലങ്ങൾ പലപ്പോഴും വേഗത നിലനിർത്തുന്നില്ല. ഇന്നലെ സുരക്ഷിതമായത് ഇന്ന് അപകടകരമാണ്, ആ രണ്ട് സംസ്ഥാനങ്ങൾ തമ്മിലുള്ള വിടവാണ് ലംഘനങ്ങൾ സംഭവിക്കുന്നത്.

സങ്കീർണ്ണമായ പ്രവർത്തന സ്റ്റാക്കുകൾ പ്രവർത്തിക്കുന്ന ബിസിനസ്സുകൾക്ക് ഇത് വളരെ നിശിതമാണ്. ഉപഭോക്തൃ സേവനം, അനലിറ്റിക്‌സ്, ഉള്ളടക്കം സൃഷ്ടിക്കൽ, ഉൽപ്പന്ന ശുപാർശകൾ എന്നിവയിലുടനീളം AI- പവർ ഫീച്ചറുകൾ ഉപയോഗിക്കുന്ന ഒരു കമ്പനിക്ക് ഒരു ഡസൻ വ്യത്യസ്ത സന്ദർഭങ്ങളിൽ ജെമിനി സംയോജനങ്ങൾ ഉണ്ടായിരിക്കാം - ക്രെഡൻഷ്യലുകൾ സ്ഥിരതയില്ലാതെ കൈകാര്യം ചെയ്യുകയാണെങ്കിൽ ഓരോന്നിനും സാധ്യതയുള്ള എക്സ്പോഷർ പോയിൻ്റ്. മികച്ച വ്യക്തിഗത ഡെവലപ്പർ ശീലങ്ങൾ മാത്രമല്ല പരിഹാരം; അത് വാസ്തുവിദ്യയാണ്. ക്രെഡൻഷ്യൽ ആക്‌സസ്സ് കേന്ദ്രീകൃതവും ഓഡിറ്റും പ്ലാറ്റ്‌ഫോം തലത്തിൽ നിയന്ത്രിക്കേണ്ടതും ആവശ്യമാണ്.

ആധുനിക ബിസിനസ്സ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങൾ ഇത് മനസ്സിൽ വെച്ചാണ് കൂടുതൽ രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്. Mewayz അതിൻ്റെ സ്യൂട്ട് മുഴുവൻ AI കഴിവുകൾ സമന്വയിപ്പിക്കുമ്പോൾ - ഇൻ്റലിജൻ്റ് CRM വർക്ക്ഫ്ലോകൾ മുതൽ അതിൻ്റെ 207-മൊഡ്യൂൾ ഇക്കോസിസ്റ്റത്തിലെ ഓട്ടോമേറ്റഡ് അനലിറ്റിക്‌സ് വരെ - ക്രെഡൻഷ്യൽ മാനേജ്‌മെൻ്റ് കൈകാര്യം ചെയ്യുന്നത് ഇൻഫ്രാസ്ട്രക്ചർ ലെയറിലാണ്, ആപ്ലിക്കേഷൻ ലെയറിലല്ല. വ്യക്തിഗത മൊഡ്യൂൾ ഡെവലപ്പർമാർ റോ API കീകൾ കൈകാര്യം ചെയ്യുന്നില്ല; റൊട്ടേഷൻ പോളിസികൾ, ഓഡിറ്റ് ആക്‌സസ്, എന്തെങ്കിലും തെറ്റ് സംഭവിച്ചാൽ സ്‌ഫോടന പരിധി പരിമിതപ്പെടുത്തൽ എന്നിവ നടപ്പിലാക്കുന്ന അബ്‌സ്‌ട്രാക്ഷൻ ലെയറിലൂടെ അവർ കഴിവുകൾ ആക്‌സസ് ചെയ്യുന്നു. ജെമിനി യുഗം ആവശ്യപ്പെടുന്ന വാസ്തുവിദ്യ ഇതാണ്: മികച്ച ശീലങ്ങൾ മാത്രമല്ല, ശരിയായ ശീലത്തെ ലഭ്യമായ ഏക ഓപ്ഷനാക്കി മാറ്റുന്ന മികച്ച സംവിധാനങ്ങൾ.

മാപ്സിനും YouTube-നും വേണ്ടി അനുവദനീയമായ API കീ മോഡൽ നിർമ്മിക്കുന്നതിൽ Google-ന് ഒരു തെറ്റും സംഭവിച്ചിട്ടില്ല. ആ മാതൃക ആ സേവനങ്ങൾക്ക് അനുയോജ്യമായിരുന്നു. എന്നാൽ API-കളുടെ കഴിവുകളും ചെലവ് പ്രൊഫൈലുകളും നാടകീയമായി വികസിക്കുന്നതിനാൽ - AI API-കൾ ആ പരിണാമത്തിലെ ഏറ്റവും മൂർച്ചയുള്ള ഇൻഫ്ലക്ഷൻ പോയിൻ്റിനെ പ്രതിനിധീകരിക്കുന്നതിനാൽ - മുഴുവൻ വ്യവസായത്തിനും അതിൻ്റെ ഡിഫോൾട്ടുകൾ പുനഃസജ്ജമാക്കേണ്ടതുണ്ട്. ഈ പരിതസ്ഥിതിയിൽ അഭിവൃദ്ധി പ്രാപിക്കുന്ന ഡെവലപ്പർമാർ പഴയ നിയമങ്ങൾ നന്നായി പഠിച്ചവരായിരിക്കില്ല, എന്നാൽ നിയമങ്ങൾ എപ്പോൾ അടിസ്ഥാനപരമായി മാറിയെന്ന് തിരിച്ചറിയുന്നവരാണ്.

പതിവ് ചോദിക്കുന്ന ചോദ്യങ്ങൾ

Google API കീകൾ പൊതുവെ തുറന്നുകാട്ടാൻ ചരിത്രപരമായി സുരക്ഷിതമായി കണക്കാക്കുന്നത് എന്തുകൊണ്ട്?

Google അതിൻ്റെ പല API-കളും - മാപ്‌സ്, YouTube, സ്ഥലങ്ങൾ - ക്ലയൻ്റ്-സൈഡ് ഉപയോഗത്തിനായി രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്നു, അതായത് കീകൾ ആർക്കും കാണാവുന്ന ഫ്രണ്ട്-എൻഡ് കോഡിൽ മനഃപൂർവ്വം ഉൾച്ചേർത്തതാണ്. പ്രധാന രഹസ്യത്തിന് പകരം ഡൊമെയ്ൻ അനുവദനീയ ലിസ്റ്റുകളും റഫറർ പരിശോധനകളും പോലുള്ള ഉപയോഗ നിയന്ത്രണങ്ങളെയാണ് സുരക്ഷാ മോഡൽ ആശ്രയിച്ചത്. വർഷങ്ങളോളം, ഒരു തുറന്ന കീ കോൺഫിഗറേഷൻ പ്രശ്‌നമായി കണക്കാക്കപ്പെട്ടിരുന്നു, ഉടനടി റൊട്ടേഷൻ ആവശ്യമായ ഒരു നിർണ്ണായകമായ അപകടമല്ല.

ഗൂഗിൾ ജെമിനി API കീകൾ അവതരിപ്പിച്ചപ്പോൾ എന്താണ് മാറിയത്?

പൈതൃക ഗൂഗിൾ എപിഐകളിൽ നിന്ന് വ്യത്യസ്തമായി, ജെമിനി എപിഐ കീകൾ പരമ്പരാഗത രഹസ്യങ്ങൾ പോലെയാണ് പ്രവർത്തിക്കുന്നത് - ഒന്ന് വെളിപ്പെടുത്തുന്നത് നിങ്ങളുടെ ബില്ലിംഗ് അക്കൗണ്ടിലേക്ക് അനധികൃത ചാർജുകൾ, മോഡൽ ദുരുപയോഗം, അല്ലെങ്കിൽ നിങ്ങളെ രക്ഷിക്കാൻ ബിൽറ്റ്-ഇൻ ഡൊമെയ്ൻ നിയന്ത്രണങ്ങളില്ലാതെ ക്വാട്ട ക്ഷീണം എന്നിവയ്ക്ക് കാരണമാകും. ഷിഫ്റ്റ് എന്നതിനർത്ഥം ഡെവലപ്പർമാർ ഇപ്പോൾ ജെമിനി കീകളെ AWS ക്രെഡൻഷ്യലുകൾ അല്ലെങ്കിൽ സ്ട്രൈപ്പ് രഹസ്യ കീകൾ പോലെയുള്ള അതേ അച്ചടക്കത്തോടെ കൈകാര്യം ചെയ്യണം, അവ സെർവർ-സൈഡിൽ സംഭരിക്കുകയും ക്ലയൻ്റ് ഫേസിംഗ് കോഡിൽ സൂക്ഷിക്കുകയും വേണം.

ഇന്ന് AI സേവനങ്ങൾക്കായി ഡെവലപ്പർമാർ എങ്ങനെയാണ് API കീകൾ സുരക്ഷിതമായി കൈകാര്യം ചെയ്യേണ്ടത്?

എല്ലാ എഐ എപിഐ കീകളും എൻവയോൺമെൻ്റ് വേരിയബിളുകളായി സെർവറിൽ സംഭരിക്കുക എന്നതാണ് ഏറ്റവും മികച്ച രീതി, ഒരിക്കലും പതിപ്പ് നിയന്ത്രിത ഫയലുകളിലോ ക്ലയൻ്റ് ബണ്ടിലുകളിലോ അല്ല. ഒരു രഹസ്യ മാനേജർ ഉപയോഗിക്കുക, പതിവായി കീകൾ തിരിക്കുക, ദാതാവിൻ്റെ തലത്തിൽ ചെലവ് പരിധി നിശ്ചയിക്കുക. Mewayz പോലുള്ള പ്ലാറ്റ്‌ഫോമുകൾ — $19/mo എന്ന നിരക്കിൽ app.mewayz.com-ൽ ലഭ്യമാണ് — 207-മൊഡ്യൂൾ ബിസിനസ്സ് ഒഎസ് — അവരുടെ ഇൻഫ്രാസ്ട്രക്ചറിനുള്ളിൽ API ക്രെഡൻഷ്യൽ മാനേജ്‌മെൻ്റ് കൈകാര്യം ചെയ്യുന്നു, അതിനാൽ ടീമുകൾ സേവനങ്ങളിലുടനീളം കീകൾ സ്വമേധയാ കൈകാര്യം ചെയ്യുന്നില്ല.

ഞാൻ ഇതിനകം ഒരു ജെമിനി API കീ അബദ്ധവശാൽ തുറന്നുകാട്ടിയിട്ടുണ്ടെങ്കിൽ ഞാൻ എന്തുചെയ്യണം?

ഗൂഗിൾ ക്ലൗഡ് കൺസോൾ വഴി വിട്ടുവീഴ്‌ച ചെയ്‌ത കീ അസാധുവാക്കുക, മറ്റെന്തെങ്കിലും ചെയ്യുന്നതിന് മുമ്പ് ഒരു പകരക്കാരനെ സൃഷ്‌ടിക്കുക. താക്കോൽ വിളവെടുത്തുവെന്ന് സൂചിപ്പിക്കുന്ന അപ്രതീക്ഷിത ഉപയോഗ സ്‌പൈക്കുകൾക്കായി നിങ്ങളുടെ ബില്ലിംഗ് ഡാഷ്‌ബോർഡ് ഓഡിറ്റ് ചെയ്യുക. തുടർന്ന് നിങ്ങളുടെ കോഡ്ബേസ്, CI/CD എൻവയോൺമെൻ്റ് വേരിയബിളുകൾ, ചോർന്ന മറ്റ് ക്രെഡൻഷ്യലുകൾക്കായി ഏതെങ്കിലും പൊതു ശേഖരണങ്ങൾ എന്നിവ അവലോകനം ചെയ്യുക. ഏതെങ്കിലും വെളിപ്പെടുത്തിയ പേയ്‌മെൻ്റ് ക്രെഡൻഷ്യൽ പോലെ തന്നെ സംഭവത്തെ കൈകാര്യം ചെയ്യുക - അത് കണ്ടെത്തിയെന്ന് കരുതുകയും അതിനനുസരിച്ച് പ്രവർത്തിക്കുകയും ചെയ്യുക.

പോലെ തന്നെ സംഭവത്തെ കൈകാര്യം ചെയ്യുക

Try Mewayz Free

All-in-one platform for CRM, invoicing, projects, HR & more. No credit card required.

Start Free Try Demo

Start managing your business smarter today

Join 30,000+ businesses. Free forever plan · No credit card required.

Start Free → Watch Demo
Found this useful? Share it.
X / Twitter LinkedIn Facebook WhatsApp

Ready to put this into practice?

Join 30,000+ businesses using Mewayz. Free forever plan — no credit card required.

Start Free Trial →

Related articles

The tool that won't let AI say anything it can't cite

Hacker News

The tool that won't let AI say anything it can't cite

Apr 10, 2026

 YouTube locked my accounts and I can't cancel my subscription

Hacker News

YouTube locked my accounts and I can't cancel my subscription

Apr 10, 2026

 CollectWise (YC F24) Is Hiring

Hacker News

CollectWise (YC F24) Is Hiring

Apr 10, 2026

 Afrika Bambaataa, hip-hop pioneer, has died

Hacker News

Afrika Bambaataa, hip-hop pioneer, has died

Apr 10, 2026

Hacker News

Installing OpenBSD on the Pomera DM250{,XY?}

Apr 10, 2026

Hacker News

The Raft consensus algorithm explained through "Mean Girls" (2019)

Apr 10, 2026

Ready to take action?

Start your free Mewayz trial today

All-in-one business platform. No credit card required.

Start Free →

14-day free trial · No credit card · Cancel anytime