Hacker News

گوگل API چابيون راز نه هئا، پر پوء Gemini ضابطن کي تبديل ڪيو

تبصرا

2 min read Via trufflesecurity.com

Mewayz Team

Editorial Team

Hacker News

جڏهن "عوامي ڊيزائن طرفان" هڪ سيڪيورٽي ذميواري بڻجي وڃي ٿو

تقريبن ٻن ڏهاڪن تائين، گوگل جي ماحولياتي نظام تي تعمير ڪندڙ ڊولپرز هڪ ذهين پر اهم سبق سکيو: گوگل API ڪيز حقيقت ۾ راز نه آهن. جيڪڏهن توهان جاوا اسڪرپٽ فائل ۾ يوٽيوب ڊيٽا API ڪيئي شامل ڪئي، گوگل پريشان نه ٿيو. جيڪڏهن توهان جو نقشو API ڪيئي عوامي GitHub مخزن ۾ ڏيکاريل آهي، سيڪيورٽي جواب لازمي طور تي هڪ ڇڪڻ ۽ ڊومين پابنديون قائم ڪرڻ لاء هڪ ياد ڏياريندڙ هو. سمورو ماڊل ان مفروضي جي چوڌاري ٺهيل هو ته اهي ڪنجيون ڪلائنٽ سائڊ ڪوڊ ۾ رهن ٿيون، هر ڪنهن جي سامهون هونديون جن DevTools کوليو.

اهو فلسفو گهڻي وقت تائين سمجهه ۾ اچي ويو. ڊومين جي پابندين کان سواءِ بي نقاب ڪيل هڪ نقشا API ڪيئي شايد حيران ڪندڙ بل جمع ڪري سگهي ٿي، پر اهو مريض جي رڪارڊ کي سمجهوتو ڪرڻ يا بينڪ اڪائونٽ کي ختم ڪرڻ وارو نه هو. ڌماڪي جي ريڊيس مالي ۽ منظم هئي. گوگل جي ٽولنگ — ريفرر پابنديون، IP وائيٽ لسٽنگ، ڪوٽا جون حدون — ڊيزائين ڪيون ويون ھيون ته نقصان تي مشتمل ھجن، مڪمل طور تي نمائش کي روڪڻ نه.

پوءِ Gemini آيو، ۽ ضابطا بدلجي ويا. مسئلو اهو آهي ته لکين ڊولپرز ميمو حاصل نه ڪيا آهن.

The Legacy Mental Model جيڪو هاڻي ڊولپرز کي ساڙي رهيو آهي

پراڻو گوگل ڊولپر تجربو عمدي طور تي اجازت ڏيڻ وارو هو. جڏهن توهان هڪ Maps JavaScript API ڪيئي ٺاهي، دستاويز عملي طور تي توهان کي حوصلا افزائي ڪئي ته ان کي سڌو سنئون پنهنجي HTML ۾ ڇڏي ڏيو. سيڪيورٽي ماڊل رازداري نه هئي - اها پابندي هئي. توھان پنھنجي ڊومين جي ڪنجي کي لاڪ ڪيو، ڪوٽا الرٽ سيٽ ڪريو، ۽ اڳتي وڌو. اها عملي انجنيئرنگ هئي: ڪلائنٽ سائڊ ايپليڪيشنون حقيقي طور تي طئي ٿيل استعمال ڪندڙن کان راز نه رکي سگهن ٿيون، تنهنڪري گوگل هڪ اهڙو نظام ٺاهيو جيڪو ان حقيقت کي تسليم ڪري.

هن ڊولپرز جو هڪ نسل پيدا ڪيو - ۽ وڌيڪ اهم طور تي، اداري جي عادتن جو هڪ نسل - جتي گوگل API چاٻيون هڪ مختلف ذهني ڪيٽيگري تي قبضو ڪيون آهن، چون ٿا، هڪ پٽي ڳجهي چيڪ يا AWS رسائي جي سند. توهان پنهنجي پٽي جي ڳجهي چيڪ کي عوامي ريپو ۾ پيسٽ نه ڪندا. پر توهان جي نقشي جي چاٻي؟ اهو عملي طور تي هڪ ترتيب جي قيمت هئي، نه هڪ راز. ڪيترين ئي ٽيمن انهن کي محفوظ ڪيو عوامي-منهن واري ترتيب واري فائلن ۾، README فائلن ۾، جيتوڻيڪ ڪلائنٽ-سائڊ ماحوليات جي متغيرن ۾ اڳ ۾ NEXT_PUBLIC_ يا REACT_APP_ بغير ڪنهن ٻئي سوچ جي.

سيڪيورٽي ريسرچ ڪندڙ GitHub کي اسڪين ڪري رهيا آهن بي نقاب ڪيل سندن لاءِ گوگل API ڪيز کي به مختلف طريقي سان علاج ڪرڻ سکيو. هڪ ليڪ ڪيل نقشن جي چاٻي هڪ گهٽ شدت جي ڳولا هئي. هڪ ليڪ ٿيل Gemini Key هڪ مڪمل طور تي مختلف گفتگو آهي.

Gemini سان ڇا تبديل ٿيو - ۽ اهو ڇو ضروري آهي

گوگل جو Gemini API پراڻي پلي بڪ جي پيروي نٿو ڪري. جڏھن توھان ٺاھيندا آھيو Gemini API ڪيئي گوگل AI اسٽوڊيو ذريعي، توھان ٺاھي رھيا آھيو ھڪ سند ٺاھي رھيا آھيو بنيادي طور تي مختلف خطري واري پروفائيل سان Maps يا يوٽيوب ڪي. Gemini چاٻيون وڏي ٻوليءَ جي ماڊل انفرنس تائين پهچ جي تصديق ڪن ٿيون - هڪ خدمت جيڪا گوگل جي حقيقي حسابي وسيلن تي خرچ ڪري ٿي ۽ جيڪا توهان کي ٽوڪن ذريعي بل ڏئي ٿي، نه ته صفحي جي ڏيک ذريعي.

وڌيڪ تنقيدي طور تي، Gemini API چاٻيون ساڳيون ٺهيل ڊومين پابنديون ميڪانيزم نه هونديون آهن جيڪي ٻين گوگل ڪيز کي بي نقاب ڪري زندهه بڻائينديون آهن. "هن کي منهنجي ويب سائيٽ جي ڊومين ۾ لاڪ ڪريو" جو ڪو به سادو ڪنٽرول نه آهي جيڪو ڪنهن حملي آور کي روڪيندو جيڪو توهان جي چاٻي ڪنهن عوامي ريپوزٽري ۾ ڳولي لڌو پنهنجي ايپليڪيشن کي گھمائڻ ۽ توهان جي ڪوٽا کي استعمال ڪرڻ کان - يا توهان جي بلنگ جي حد - ڪنهن ٻئي ملڪ ۾ سرور کان.

خطرو صرف مالي ناهي. هڪ ظاهر ڪيل Gemini Key استعمال ڪري سگهجي ٿي نقصانڪار مواد پيدا ڪرڻ لاءِ، فوري انجيڪشن حملن کي هلائڻ، يا اوزار ٺاهڻ لاءِ جيڪي گوگل جي سروس جي شرطن جي ڀڃڪڙي ڪن ٿا - سڀ بل توهان جي اڪائونٽ ڏانهن موڪليا ويا آهن ۽ توهان جي سڃاڻپ ڏانهن واپس ڳولي سگهجن ٿا.

2024 ۾، سيڪيورٽي ريسرچز اڪيلا GitHub تي هزارين بي نقاب Gemini API چاٻين جي نشاندهي ڪن ٿا، انهن مان ڪيترائي ريپوزٽريز ۾ آهن جيڪي اڳ ۾ بغير ڪنهن واقعي جي گوگل اي پي آئي ڪيز کي ميزباني ڪري چڪا هئا. ڊولپرز پنهنجن تاريخي معيارن کان لاپرواهي نه رهيا هئا - اهي هڪ ذهني ماڊل لاڳو ڪري رهيا هئا جنهن کي گوگل پاڻ انهن کي استعمال ڪرڻ جي تربيت ڏني هئي. ماحول عادتن جي ڀيٽ ۾ تيزيءَ سان تبديل ٿيو.

Anatomy of an Accidental Exposure

سمجهڻ ته اهي نمائشون ڪيئن ٿين ٿيون انهن کي روڪڻ لاءِ پهريون قدم. ناڪامي جا طريقا قابل ذڪر طور تي سڀني سائزن جي ٽيمن ۾ برابر آھن:

  • ماحولياتي متغير غلط ڪلاس: ڊولپر جيڪي گوگل ميپس ڪيز کي استعمال ڪندا آهن اڳي فڪس Gemini ڪيز سان NEXT_PUBLIC_ يا VITE_، انهن کي فوري طور تي بنڊل ڪلائنٽ سائڊ ڪوڊ ۾ ظاهر ڪندي.
  • مخزن جي تاريخ آلودگي: هڪ ڪنيڪشن فائل ۾ شامل ڪيو ويو آهي، انجام ڏنو ويو، پوء هٽايو ويو - پر گٽ جي تاريخ اڻڄاتل طور تي ڳولهي رهي ٿي. حملو ڪندڙ اوزار استعمال ڪندا آهن جهڙوڪ truffleHog and gitleaks خاص طور تي هن تاريخ کي ختم ڪرڻ لاءِ.
  • نوٽ بڪ ۽ پروٽوٽائپ لڪيج: ڊيٽا سائنسدان جوپيٽر نوٽ بڪز ۾ Gemini انٽيگريشن کي پروٽوٽائپ ڪري رهيا آهن انهن نوٽ بڪ کي GitHub ڏانهن ڇڪيندا آهن چاٻين سان جيڪي سيل آئوٽ پُٽ ۾ شامل آهن.
  • CI/CD غلط ترتيب: ذخيرو راز جي طور تي محفوظ ڪيل چاٻيون بلڊ لاگز ۾ حادثاتي طور تي گونجنديون آهن جيڪي عوامي طور تي GitHub ايڪشنز يا ساڳي پليٽ فارمن تي نظر اچن ٿيون.
  • ٽيم ڪميونيڪيشن چينلز: سليڪ، ڊسڪارڊ، يا اي ميل تي شيئر ڪيل ڪيز ڳولها لائق پيغام جي تاريخن ۾ ختم ٿين ٿيون جيڪي گردش جي شيڊول کان ٻاهر رهن ٿيون.

عام ٿريڊ غفلت نه آھي - اھو آھي حوالن جو خاتمو. اهي رويا جيڪي هڪ حوالي سان محفوظ هئا (گوگل ميپس ڊولپمينٽ) ٻئي ۾ خطرناڪ آهن (جيمني ڊولپمينٽ)، ۽ سندن جي بصري هڪجهڙائي فرق کي وڃائڻ آسان بڻائي ٿي.

سيڪريٽس مينيجمينٽ ڪلچر جي تعمير جيڪا اسڪيل ڪري ٿي

جيمني صورتحال ان شيءِ لاءِ هڪ ڪارائتو زبردستي فعل آهي جنهن کي ڪيتريون ئي ڊولپمينٽ ٽيمون ملتوي ڪري رهيون آهن: حقيقي رازن جي انتظام جو بنيادي ڍانچو تعمير ڪرڻ بجاءِ ايڊهاڪ طريقن جي. ننڍين ٽيمن لاءِ، اهو محسوس ٿي سگھي ٿو ته اوور انجنيئرنگ، پر هڪ سندي نمائش جي قيمت — بلنگ فراڊ، اڪائونٽ معطل ڪرڻ، ڊيٽا جي ڀڃڪڙي جون اطلاعون — هن حق کي ڪرڻ جي ڪوشش کان تمام گهڻو وڌي ٿو.

جديد رازن جو انتظام هڪ سطحي طريقي جي پيروي ڪري ٿو. انفراسٽرڪچر جي سطح تي، اوزار جھڙوڪ HashiCorp Vault، AWS Secrets Manager، يا Google Secret Manager مهيا ڪن ٿا مرڪزي، آڊيٽ قابل اعتبار واري اسٽوريج کي خودڪار گردش جي صلاحيتن سان. اهي صرف وڏن ادارن لاءِ نه آهن — ڊاپلر ۽ انفسيڪل جهڙيون خدمتون هڪجهڙا نمونا آڻين ٿيون ٻن يا ٽن ڊولپرز جي ٽيمن کي پهچندڙ قيمتن تي.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

ڪوڊ جي سطح تي، نظم و ضبط وڌيڪ آسان آهي: سندون ڪڏهن به سورس ڪوڊ کي هٿ نه ڪنديون آهن. مڪمل اسٽاپ. نه تبصرو ٿيل لائنن ۾، نه مثال فائلن ۾، نه ٽيسٽ فيڪٽرز ۾ جعلي نظر ايندڙ قدرن سان جيڪي حقيقي ٿي وڃن. اڳ-ڪمٽ ٿلهو ڊوڙندڙ اوزار جهڙوڪ detect-secrets or gitleaks جي خلاف ورزين کي پڪڙيو ان کان اڳ جو اهي ريموٽ ريپوزٽريز تائين پهچن. اهي ٿلهو ترتيب ڏيڻ ۾ منٽ لڳن ٿا ۽ توهان جي واقعي جي جواب جي پريشاني کان سال پري.

ان تنظيمن لاءِ جيڪي پيچيده آپريشنل اسٽيڪ هلائي رهيون آهن - CRM ورڪ فلوز کان وٺي پئرول انٽيگريشن تائين ڪسٽمر کي منهن ڏيڻ واري بکنگ سسٽم تائين هر شي جو انتظام ڪرڻ - مرڪزي سندي انتظام اڃا به وڌيڪ نازڪ ٿي وڃي ٿو. پليٽ فارمس جهڙوڪ Mewayz، جيڪو 207 ڪاروباري ماڊلز کي هڪ واحد آپريشنل ڇت هيٺ متحد ڪري ٿو، هن اصول سان ٺاهيا ويا آهن انهن جي بنيادي طور تي: سندون ۽ API انضمام پليٽ فارم جي سطح تي منظم ڪيا ويندا آهن، انفرادي ماڊلز يا انفرادي ڊولپرز جي ماحول ۾ نه پکڙيل آهن. جڏهن هڪ ڪنجي کي گھمائڻ جي ضرورت آهي، اهو هڪ ڀيرو ٿئي ٿو، هڪ جاءِ تي، نه ته ستر مختلف انٽيگريشن پوائنٽس تي.

The Billing Attack Vector: A Threat Model Developers Underestimate

سيڪيورٽي بحث گهڻو ڪري ڊيٽا جي ڀڃڪڙي ۽ غير مجاز رسائي تي ڌيان ڏئي ٿو. Gemini نمائش جو مسئلو هڪ ٽين خطري واري ماڊل کي شامل ڪري ٿو جيڪو برابر ڌيان جو مستحق آهي: بلنگ فراڊ پيماني تي.

وڏي ٻوليءَ جي ماڊل جو اندازو قيمتي آهي. GPT-4 ۽ Gemini Ultra پروسيس ٽوڪن هر هڪ جي هڪ سينٽ جي جزن تي، پر پيماني تي - هزارين درخواستون، لکين ٽوڪن - اهي جزا تمام جلدي هزارين ڊالر تائين وڌائين ٿا. حملو ڪندڙ جيڪي دريافت ڪيل AI API چابيون ڳوليندا آهن ضروري طور تي توهان جي ڊيٽا نٿا چاهيون. اهي مفت حساب ڪرڻ چاهيندا آهن. اهي توهان جون سندون استعمال ڪندا پنهنجون AI خدمتون هلائڻ، ٻيهر وڪڻڻ جي صلاحيت، يا انهن جي ايپليڪيشنن کي ٽيسٽ ڪرڻ لاءِ- سڀ ڪجهه جڏهن ته بل توهان ڏانهن وڃي ٿو.

هڪ ڊولپر ڇهن ڪلاڪن کان به گهٽ عرصي لاءِ عوامي ريپوزٽري ۾ ظاهر ڪيل Gemini Key مان $23,000 بل تائين جاڳائڻ جو دستاويز ڪيو. حملي آور استحصال کي فوري طور تي خودڪار ڪري ڇڏيو هو، مسلسل تيز-ذريعي نسل جي ڪمن کي هلائي رهيو هو جيستائين گوگل جي فريب جي ڳولا ان کي پڪڙي. ڊولپر کي آخرڪار هڪ ڊگهي تڪرار واري عمل کان پوءِ چارجز واپس ورتا ويا، پر اڪائونٽ ان عرصي دوران معطل ڪيو ويو، ان سان گڏ پروڊڪشن سروسز کي ختم ڪري ڇڏيو.

اهو ئي سبب آهي ته بلنگ الرٽ ۽ ڪوٽا جون حدون مناسب رازن جي انتظام لاءِ متبادل نه آهن - اهي دفاع جي آخري لائين آهن، جنهن جي اميد آهي ته توهان کي ڪڏهن به ضرورت نه پوندي. AI API اڪائونٽس تي سخت مھينن جي خرچن جي حدن کي مقرر ڪرڻ ھاڻي جدول جي اسٽيڪ آھي، پر حقيقي تحفظ ان ڳالھ کي يقيني بڻائي رھيو آھي ته اھي سندون ڪڏھن پھريائين لڪي نه ٿيون وڃن.

منتقلي ڪرڻ واري ٽيمن لاءِ عملي قدم

جيڪڏهن توهان جي ٽيم پراڻي ذهني ماڊل تحت گوگل API انٽيگريشن ٺاهي رهي آهي ۽ هاڻي Gemini کي اسٽيڪ ۾ شامل ڪري رهي آهي، هتي هڪ حقيقي ريميڊييشن چيڪ لسٽ آهي:

  1. موجوده ذخيرن جي فوري طور تي آڊيٽ ڪريو. هلو truffleHog or gitleaks توهان جي مڪمل گٽ تاريخ جي خلاف، نه صرف موجوده هيڊ. خاص طور تي ڪنهن به مخزن تي ڌيان ڏيو جنهن ۾ ماضي ۾ گوگل API ڪيئي استعمال ٿي چڪو هجي.
  2. سڀني بي نقاب ڪيل ڪيز کي گھمايو. جيڪڏھن ڪنھن Gemini ڪيئي ڪنھن ڪمٽ ۾ ظاھر ٿيو آھي، سمجھو سمجھو. ان کي رد ڪريو ۽ ھڪڙو نئون ٺاھيو. اهو اندازو ڪرڻ جي ڪوشش نه ڪريو ته ڇا ڪنهن کي "حقيقت ۾" اهو مليو آهي.
  3. پري-ڪمٽ اسڪيننگ لاڳو ڪريو. هر ڊولپر جي مشين تي ڳجهي پتو لڳائڻ وارا ٿلها نصب ڪريو ۽ CI/CD پائيپ لائينن ۾ هڪ نان بائي پاس ٿيل دروازي جي طور تي.
  4. هڪ اهم انوینٽري قائم ڪريو. ڄاڻو ته ڪھڙين خدمتن وٽ ڪھڙا سندون آھن، انھن جو مالڪ ڪير آھي، انھن کي آخري دفعو گھمايو ويو، ۽ اھي ڪٿي استعمال ٿيون. هڪ اسپريڊ شيٽ هڪ سٺي شروعاتي نقطي آهي؛ هڪ راز مينيجر منزل آهي.
  5. بلنگ الرٽس ۽ سخت حدون مقرر ڪريو. هر AI API اڪائونٽ تي، توهان جي متوقع مهيني خرچ جي 50% ۽ 80% تي الرٽ ترتيب ڏيو، ۽ سخت حدون مقرر ڪريو جيڪي تباهه ڪندڙ بلنگ واقعن کي روڪين.
  6. نئين ذهني ماڊل کي واضح طور تي دستاويز ڪريو. پنهنجي ٽيم جي آن بورڊنگ مواد ۽ انجنيئرنگ هينڊ بڪ کي اپڊيٽ ڪريو واضح طور تي بيان ڪرڻ لاءِ ته Gemini API ڪنجيون اعليٰ حساسيت جون سندون آهن جن کي ادائگي جي پروسيسر رازن وانگر ساڳيو علاج گهربل آهي.

پليٽ فارم تي منحصر ڪاروبار لاءِ وسيع سبق

جيمني صورتحال هڪ نمونو بيان ڪري ٿي جيڪا ڪنهن به ڪاروبار تي اثر انداز ٿئي ٿي ٽين پارٽي پليٽ فارمن سان ضم ٿيل: پليٽ فارمز ترقي ڪن ٿا، ۽ حفاظتي پوزيشن جون گهرجون انهن سان ترقي ڪن ٿيون، پر انهن پليٽ فارمن کي استعمال ڪندڙ ٽيمن جون ادارتي عادتون اڪثر ڪري رفتار نه رکندا آهن. جيڪو ڪالهه محفوظ هو سو اڄ خطرناڪ آهي، ۽ انهن ٻن رياستن جي وچ ۾ خال آهي جتي ڀڃڪڙي ٿئي ٿي.

اهو خاص طور تي پيچيده آپريشنل اسٽيڪ هلائيندڙ ڪاروبار لاءِ سخت آهي. ھڪڙي ڪمپني AI-طاقتور خاصيتون استعمال ڪندي ڪسٽمر سروس، اينالائيٽڪس، مواد جي پيداوار، ۽ پراڊڪٽ جي سفارشن ۾ ٿي سگھي ٿي Gemini انضمام درجن جي مختلف حوالن ۾ - ھر ھڪڙي ھڪڙي امڪاني نمائش واري نقطي جيڪڏھن سندون غير مطابقت سان ھلجن ٿيون. حل صرف بهتر انفرادي ڊولپر عادتون نه آهي؛ اهو آرڪيٽيڪچرل آهي. تصديق جي رسائي کي پليٽ فارم جي سطح تي مرڪزي، آڊٽ، ۽ سنڀالڻ جي ضرورت آهي.

جديد ڪاروباري آپريٽنگ سسٽم هن کي ذهن ۾ رکندي ٺاهيا ويا آهن. جڏهن Mewayz AI صلاحيتن کي پنهنجي سوٽ ۾ ضم ڪري ٿو - ذهين CRM ورڪ فلوز کان وٺي خودڪار اينالائيٽڪس تائين ان جي 207-ماڊيول ايڪو سسٽم ۾ - سندي انتظام سنڀاليو ويندو آهي انفراسٽرڪچر پرت تي، نه ته ايپليڪيشن پرت تي. انفرادي ماڊل ڊولپرز خام API ڪنجيون نه سنڀاليندا آهن؛ اهي تجريدي پرت ذريعي صلاحيتن تائين رسائي ڪن ٿيون جيڪي گردش پاليسين کي لاڳو ڪن ٿيون، آڊٽ رسائي، ۽ ڌماڪي جي ريڊيس کي محدود ڪن ٿيون جيڪڏهن ڪجهه غلط ٿي وڃي. هي اهو فن تعمير آهي جنهن جي Gemini دور جي ضرورت آهي: نه رڳو بهتر عادتون، پر بهتر سسٽم جيڪي صحيح عادت کي صرف دستياب اختيار ڪن ٿا.

گوگل نقشا ۽ يوٽيوب لاءِ اجازت ڏيندڙ API ڪيئي ماڊل ٺاهڻ ۾ ڪا غلطي نه ڪئي. اھو نمونو انھن خدمتن لاءِ مناسب ھو. پر جيئن ته APIs جون صلاحيتون ۽ قيمت پروفائلز ڊرامائي طور تي ترقي ڪن ٿا - ۽ جيئن ته AI APIs شايد انهي ارتقا ۾ تيز ترين انفليڪشن پوائنٽ جي نمائندگي ڪن ٿا - پوري صنعت کي ان جي ڊفالٽ کي ري سيٽ ڪرڻ جي ضرورت آهي. ڊولپر جيڪي هن ماحول ۾ ترقي ڪندا آهن اهي نه هوندا جن پراڻن قاعدن کي چڱيءَ طرح سکيو هوندو، پر اهي اهي هوندا جيڪي سمجهندا آهن جڏهن ضابطا بنيادي طور تبديل ٿي ويا آهن.

اڪثر پڇيا ويندڙ سوال

ڇو گوگل API چاٻيون تاريخي طور تي محفوظ سمجھيون ويون عوامي طور تي ظاهر ڪرڻ لاءِ؟

گوگل پنهنجا ڪيترائي API ٺاهيا آهن — نقشا، يوٽيوب، جڳهيون — ڪلائنٽ-سائيڊ استعمال لاءِ، مطلب ته چاٻيون ارادي طور تي شامل ڪيون ويون آهن فرنٽ-اينڊ ڪوڊ ۾ جيڪي هر ڪنهن کي نظر اچن ٿيون. سيڪيورٽي ماڊل استعمال جي پابندين تي ڀاڙي ٿو جهڙوڪ ڊومين جي اجازت ڏيڻ واري فهرست ۽ ريفرر چيڪن بجاءِ اهم رازداري. سالن تائين، هڪ ظاهر ڪيل چاٻي کي ترتيب ڏيڻ جو مسئلو سمجهيو ويندو هو، نه ته هڪ نازڪ ڪمزوري جنهن کي فوري گردش جي ضرورت هجي.

جڏهن گوگل Gemini API ڪيز متعارف ڪرايو ته ڇا تبديل ٿيو؟

براثي Google APIs جي برعڪس، Gemini API ڪيز وڌيڪ ڪم ڪن ٿا روايتي رازن وانگر — هڪ کي ظاهر ڪرڻ سان توهان جي بلنگ اڪائونٽ تي غير مجاز چارجز، ماڊل جي غلط استعمال، يا ڪوٽا ختم ٿيڻ جو نتيجو ٿي سگهي ٿو توهان کي بچائڻ لاءِ بنا ڪنهن ڊومين جي پابندي سان. شفٽ جو مطلب آھي ڊولپرز کي ھاڻي Gemini چاٻين کي AWS سند يا Stripe ڳجھي چاٻين جي ساڳي نظم و ضبط سان علاج ڪرڻ گھرجي، انھن کي سرور-سائڊ محفوظ ڪرڻ ۽ ڪڏھن به ڪلائنٽ-منھن ڏيڻ واري ڪوڊ ۾ نه.

ڊولپرز کي اڄڪلهه AI خدمتن لاءِ API ڪيز کي محفوظ طريقي سان منظم ڪرڻ گهرجي؟

سڀ کان بھترين عمل اھو آھي ته سڀني AI API ڪنيز کي سرور تي ماحوليات جي متغير طور محفوظ ڪيو وڃي، ڪڏھن به ورجن ڪنٽرول ٿيل فائلن يا ڪلائنٽ بنڊلن ۾ نه. رازداري مينيجر کي استعمال ڪريو، ڪنجيون باقاعده گھمايو، ۽ مهيا ڪندڙ سطح تي خرچ جي حد مقرر ڪريو. پليٽ فارمز جهڙوڪ Mewayz — هڪ 207-ماڊيول ڪاروبار OS $19/mo تي دستياب آهي app.mewayz.com تي — API جي سندي انتظام کي سنڀاليندا آهن انهن جي انفراسٽرڪچر ۾ ان ڪري ٽيمون دستي طور تي خدمتن جي وچ ۾ چابيون نه ڇڪينديون آهن.

جيڪڏهن مون اڳ ۾ ئي غلطيءَ سان Gemini API ڪيئي کي بي نقاب ڪيو هجي ته مون کي ڇا ڪرڻ گهرجي؟

Google Cloud Console ذريعي سمجھوتي ڪيل ڪيئي کي فوري طور تي رد ڪريو ۽ ٻيو ڪجھ ڪرڻ کان پھريائين ھڪڙو متبادل ٺاھيو. پنهنجي بلنگ ڊيش بورڊ کي اڻڄاتل استعمال جي اسپيڪس لاءِ آڊٽ ڪريو جيڪو ظاهر ڪري سگھي ٿو ته چاٻي حاصل ڪئي وئي. پوءِ جائزو وٺو پنھنجي ڪوڊ بيس، CI/CD ماحوليات جي متغيرن، ۽ ٻين ليڪ ٿيل سندن لاءِ ڪنھن به عوامي ذخيري جو. واقعي کي ائين سمجھو جيئن توھان ڪنھن به پڌري ادائگي جي سند ھلائيندا ـ فرض ڪريو ته اھو مليو آھي ۽ ان مطابق عمل ڪريو.