Гоогле АПИ кључеви нису били тајне, али је Гемини променио правила

<х2>Када „јавно по дизајну“ постане безбедносна обавеза <п>Скоро две деценије, програмери који су градили на Гоогле-овом екосистему научили су суптилну, али важну лекцију: Гоогле АПИ кључеви нису заправо тајне. Ако сте уградили ИоуТубе Дата АПИ кључ у ЈаваСцрипт датотеку, Гоогле није био узнемирен. Ако се ваш кључ АПИ-ја за Мапе појавио у јавном ГитХуб спремишту, безбедносни одговор је у суштини био слегање раменима и подсетник за постављање ограничења домена. Цео модел је изграђен на основу претпоставке да ће ови кључеви живети у коду на страни клијента, изложен сваком ко је отворио ДевТоолс. <п>Та филозофија је дуго имала смисла. Кључ АПИ-ја за Мапе изложен без ограничења домена могао би да скупи изненађујући рачун, али неће угрозити картоне пацијената или исцрпити банковни рачун. Радијус експлозије је био финансијски и подношљив. Гоогле-ов алат — ограничења упућивача, беле листе ИП адреса, ограничења квота — дизајниран је да обузда штету, а не да у потпуности спречи излагање. <п>Онда су стигли Близанци и правила су се променила. Проблем је у томе што милиони програмера нису добили белешку. <х2>Наслеђени ментални модел који сада сагорева програмере <п>Старо искуство Гоогле програмера било је намерно дозвољено. Када сте креирали Мапс ЈаваСцрипт АПИ кључ, документација вас је практично охрабрила да га убаците директно у свој ХТМЛ. Безбедносни модел није био тајност – то је било ограничење. Закључали бисте кључ свог домена, подесили упозорења о квотама и наставили даље. Ово је био прагматичан инжењеринг: апликације на страни клијента заиста не могу да чувају тајне од одлучних корисника, па је Гоогле направио систем који је признао ту реалност. <п>Ово је створило генерацију програмера — и што је још важније, генерацију институционалних навика — где су Гоогле АПИ кључеви заузимали другачију менталну категорију од, рецимо, Стрипе тајног кључа или АВС акредитива за приступ. Не бисте налепили свој Стрипе тајни кључ у јавни репо. Али ваш кључ Мапа? То је практично била конфигурациона вредност, а не тајна. Многи тимови су их чували у јавним конфигурационим датотекама, РЕАДМЕ датотекама, чак иу променљивим окружења на страни клијента са префиксом <стронг>НЕКСТ_ПУБЛИЦ_ или <стронг>РЕАЦТ_АПП_ без размишљања. <п>Истраживачи безбедности који су скенирали ГитХуб у потрази за откривеним акредитивима научили су да другачије третирају Гоогле АПИ кључеве. Кључ Мапе који је процурио био је налаз мале тежине. Процурели кључ Близанаца је сасвим другачији разговор. <х2>Шта се променило са Близанцима — и зашто је то важно <п>Гоогле Гемини АПИ не прати стару књигу. Када генеришете Гемини АПИ кључ преко Гоогле АИ Студио-а, правите акредитив са суштински другачијим профилом ризика од кључа за Мапе или ИоуТубе. Гемини кључеви потврђују приступ закључивању великог језичког модела — услуга која кошта Гоогле-ове стварне рачунарске ресурсе и која вам наплаћује по токену, а не према приказу странице. <п>Још важније, Гемини АПИ кључеви немају исте уграђене механизме ограничења домена који су омогућили да се излагање других Гоогле кључева преживи. Не постоји једноставна контрола „закључај ово на домен моје веб локације“ која би спречила нападача који је пронашао ваш кључ у јавном спремишту да покрене сопствену апликацију и искористи вашу квоту — или ограничење за обрачун — са сервера у другој земљи. <блоцккуоте> <п>Опасност није само финансијска. Изложени кључ Близанаца може да се користи за генерисање штетног садржаја, спровођење хитних напада убризгавањем или прављење алата који крше Гоогле-ове услове коришћења услуге — све се наплаћује на вашем налогу и може се пратити до вашег идентитета. <п>Године 2024. истраживачи безбедности су идентификовали хиљаде откривених Гемини АПИ кључева само на ГитХуб-у, од којих су многи у репозиторијумима који су претходно без инцидената хостовали друге Гоогле АПИ кључеве. Програмери нису били непромишљени према сопственим историјским стандардима – они су примењивали ментални модел за који их је сам Гугл обучио да користе. Окружење се мењало брже него навике. <х2>Анатомија случајног излагања <п>Разумевање начина на који се ове изложености дешавају је први корак ка њиховом спречавању. Режими грешака су изузетно доследни у тимовима свих величина: <ул> <ли><стронг>Погрешна класификација променљиве окружења: Програмери који користе кључеве Гоогле мапа префиксирају кључеве Гемини са <ем>НЕКСТ_ПУБЛИЦ_ или <ем>ВИТЕ_, одмах их излажући у пакетном коду на страни клијента.<ли><стронг>Контаминација историје спремишта: Кључ се додаје у конфигурациону датотеку, урезује, а затим уклања — али историја гит-а остаје непретражива бесконачно. Нападачи користе алатке као што су <ем>труффлеХог и <ем>гитлеакс посебно за копање ове историје. <ли><стронг>Пропуштање бележнице и прототипа: Научници за податке који прототипирају Гемини интеграције у Јупитер бележницама гурају те бележнице на ГитХуб са кључевима уграђеним у излазе ћелије. <ли><стронг>Погрешна конфигурација ЦИ/ЦД-а: Кључеви ускладиштени као тајне спремишта случајно се одјекују у евиденцијама изградње које су јавно видљиве на ГитХуб Ацтионс или сличним платформама. <ли><стронг>Ширење услуга треће стране: Програмери лепе кључеве у аналитичке контролне табле, алатке без кодирања или платформе за интеграцију без прегледа безбедносних ставова тих платформи. <ли><стронг>Тимски комуникациони канали: Кључеви који се деле преко Слацк-а, Дисцорд-а или е-поште завршавају у претраживаним историјама порука које наџиве распоред ротације. <п>Заједничка нит није немар – то је колапс контекста. Понашања која су била безбедна у једном контексту (развој Гоогле мапа) су опасна у другом (развој Гемини), а визуелна сличност акредитива чини разлику лако промашеном. <х2>Изградња културе управљања тајнама која расте <п>Ситуација Близанаца је корисна форсирајућа функција за нешто што су многи развојни тимови одлагали: изградњу стварне инфраструктуре за управљање тајнама, а не ад-хоц приступа. За мале тимове ово може изгледати као претерано инжињеринг, али цена изложености акредитива — превара у наплати, суспензија налога, обавештења о кршењу података — знатно премашује напор да се ово уради како треба. <п>Управљање савременим тајнама прати вишестепени приступ. На нивоу инфраструктуре, алати као што су ХасхиЦорп Ваулт, АВС Сецретс Манагер или Гоогле Сецрет Манагер обезбеђују централизовано складиште акредитива који се може ревидирати са могућностима аутоматске ротације. Ово није само за велика предузећа – услуге као што су Доплер и Инфизикал доносе исте обрасце тимовима од два или три програмера по приступачним ценама. <п>На нивоу кода, дисциплина је једноставнија: акредитиви никада не додирују изворни код. Тачка. Ни у коментарисаним редовима, ни у датотекама примера, ни у тестовима са лажним вредностима које се испостављају као стварне. Пре-урезивање куке које покрећу алатке као што су <ем>детецт-сецретс или <ем>гитлеакс хватају кршења пре него што стигну до удаљених спремишта. Овим кукицама је потребно неколико минута да се конфигуришу и неколико година од ваше анксиозности у вези са одговором на инцидент. <п>За организације које имају сложене оперативне стекове — које управљају свиме, од ЦРМ токова посла до интеграције платног списка до система резервација окренутих клијентима — централизовано управљање акредитивима постаје још важније. Платформе као што је <стронг>Меваиз, који обједињује 207 пословних модула под једним оперативним кишобраном, изграђене су са овим принципом у својој сржи: акредитивима и АПИ интеграцијама се управља на нивоу платформе, а не раштрканим по појединачним модулима или окружењима појединачних програмера. Када кључ треба да се ротира, то се дешава једном, на једном месту, а не у седамнаест различитих тачака интеграције. <х2>Вектор напада наплате: модел претње коју програмери потцењују <п>Дискусије о безбедности се често фокусирају на кршење података и неовлашћени приступ. Проблем изложености Близанцима додаје трећи модел претње који заслужује једнаку пажњу: превару у наплати у великим размерама. <п>Закључивање модела великог језика је скупо. ГПТ-4 и Гемини Ултра обрађују токене у делићима од цента сваки, али у обиму - хиљаде захтева, милиони токена - ти разломци се веома брзо збрајају до хиљада долара. Нападачи који открију откривене АИ АПИ кључеве не желе нужно ваше податке. Они желе бесплатно рачунање. Они ће користити ваше акредитиве за покретање сопствених услуга вештачке интелигенције, препродају капацитета закључивања или тестирање својих апликација на стрес – све док рачун иде вама. <п>Један програмер је документовао буђење до новчанице од 23.000 долара из кључа Гемини изложеног у јавном спремишту мање од шест сати. Нападач је одмах аутоматизовао експлоатацију, непрекидно извршавајући задатке генерисања високе пропусности све док га Гоогле-ово откривање преваре није ухватило. Програмер је на крају поништио трошкове након дугог процеса спора, али је налог суспендован током тог периода, чиме је укинут производне услуге.<п>Зато упозорења наплате и ограничења квота нису замена за правилно управљање тајнама – они су последња линија одбране за коју се надате да вам никада неће требати. Постављање строгих месечних ограничења потрошње на АИ АПИ налозима је сада табела, али права заштита је осигурање да ти акредитиви никада не процуре. <х2>Практични кораци за тимове који праве транзицију <п>Ако је ваш тим градио интеграције Гоогле АПИ-ја према старом менталном моделу и сада додаје Гемини у групу, ево реалне контролне листе за поправку: <ол> <ли><стронг>Одмах извршите ревизију постојећих спремишта. Покрените <ем>труффлеХог или <ем>гитлеакс са својом пуном гит историјом, а не само са тренутном ХЕАД. Посебно се фокусирајте на било које складиште које је у прошлости користило кључ Гоогле АПИ-ја. <ли><стронг>Ротирајте све изложене кључеве. Ако се Гемини кључ икада појавио у урезивању, претпоставите да је компромитован. Опозовите га и генеришете нови. Не покушавајте да процените да ли га је неко „заправо“ пронашао. <ли><стронг>Примените скенирање пре урезивања. Инсталирајте куке за откривање тајних података на сваку машину програмера и у ЦИ/ЦД цевоводе као капију која се не може заобићи. <ли><стронг>Успоставите кључни инвентар. Знајте које услуге имају које акредитиве, ко их поседује, када су последњи пут ротирани и где се користе. Табела је добра полазна тачка; одредиште је менаџер тајни. <ли><стронг>Подесите упозорења за обрачун и чврста ограничења. На сваком АИ АПИ налогу, конфигуришите упозорења на 50% и 80% очекиване месечне потрошње и поставите строга ограничења која би спречила катастрофалне догађаје наплате. <ли><стронг>Екплицитно документујте нови ментални модел. Ажурирајте материјале и инжењерски приручник свог тима да бисте експлицитно навели да су Гемини АПИ кључеви високоосетљиви акредитиви који захтевају исти третман као и тајне процесора плаћања. <х2>Шира лекција за предузећа зависна од платформе <п>Ситуација Близанаца илуструје образац који утиче на сваки посао дубоко интегрисан са платформама трећих страна: платформе се развијају, а захтеви за безбедносно држање се развијају заједно са њима, али институционалне навике тимова који користе те платформе често не иду у корак. Оно што је јуче било безбедно данас је опасно, а јаз између те две државе је место где се кршења дешавају. <п>Ово је посебно акутно за предузећа која имају сложене оперативне системе. Компанија која користи функције засноване на вештачкој интелигенцији у корисничкој служби, аналитици, генерисању садржаја и препорукама производа може имати Гемини интеграције у десетак различитих контекста - сваки од њих је потенцијална тачка изложености ако се акредитивима рукује недоследно. Решење нису само боље индивидуалне навике програмера; то је архитектонско. Приступ акредитивима треба да буде централизован, ревидиран и управљан на нивоу платформе. <п>Савремени пословни оперативни системи се све више дизајнирају имајући то на уму. Када <стронг>Меваиз интегрише могућности вештачке интелигенције у свој пакет — од интелигентних ЦРМ токова до аутоматизоване аналитике у свом екосистему од 207 модула — управљањем акредитивима се управља на инфраструктурном слоју, а не на слоју апликације. Појединачни програмери модула не рукују сировим АПИ кључевима; они приступају могућностима преко слојева апстракције који примењују политике ротације, ревизију приступа и ограничавају радијус експлозије ако нешто пође наопако. Ово је архитектура коју захтева ера Близанаца: не само боље навике, већ и бољи системи који праве навике чине једином доступном опцијом. <п>Гоогле није погрешио када је направио модел пермисивног АПИ кључа за Мапе и ИоуТубе. Тај модел је био прикладан за те услуге. Али како се могућности и профили трошкова АПИ-ја драматично развијају – и како АИ АПИ-ји представљају можда најоштрију прекретницу у тој еволуцији – цела индустрија мора да ресетује своје подразумеване вредности. Програмери који напредују у овом окружењу неће бити они који су најбоље научили стара правила, већ они који препознају када су се правила суштински променила. <х2>Честа питања <х3>Зашто су се Гоогле АПИ кључеви раније сматрали безбедним за јавно излагање?<п>Гугл је дизајнирао многе своје АПИ-је — Мапе, ИоуТубе, Места — за коришћење на страни клијента, што значи да су кључеви намерно уграђени у фронт-енд код видљив свима. Безбедносни модел се ослањао на ограничења коришћења као што су листе дозвољених домена и провере упућивача, а не на тајност кључа. Годинама се откривени кључ сматрао проблемом у конфигурацији, а не критичном рањивости која захтева тренутну ротацију. <х3>Шта се променило када је Гоогле увео Гемини АПИ кључеве? <п>За разлику од застарелих Гоогле АПИ-ја, Гемини АПИ кључеви функционишу више као традиционалне тајне — откривање једне може довести до неовлашћених наплата на вашем налогу за обрачун, злоупотребе модела или исцрпљивања квоте без уграђеног ограничења домена да би вас уштедела. Промена значи да програмери сада морају да третирају Гемини кључеве са истом дисциплином као и АВС акредитиве или Стрипе тајни кључеви, чувајући их на страни сервера, а никада у коду окренутом клијенту. <х3>Како програмери данас треба да безбедно управљају АПИ кључевима за услуге вештачке интелигенције? <п>Најбоља пракса је да се сви АИ АПИ кључеви чувају као променљиве окружења на серверу, никада у датотекама које контролишу верзије или клијентским пакетима. Користите менаџера тајни, редовно ротирајте кључеве и поставите ограничења потрошње на нивоу провајдера. Платформе као што је Меваиз — пословни ОС са 207 модула по цени од 19 УСД месечно доступан на апп.меваиз.цом — управљају АПИ акредитивима у оквиру своје инфраструктуре тако да тимови не мењају ручно кључеве између услуга. <х3>Шта да радим ако сам већ случајно открио Гемини АПИ кључ? <п>Одмах опозовите компромитовани кључ преко Гоогле Цлоуд Цонсоле-а и генеришете замену пре него што урадите било шта друго. Прегледајте своју контролну таблу за наплату за неочекиване скокове коришћења који би могли да укажу на то да је кључ ухваћен. Затим прегледајте своју базу кода, ЦИ/ЦД променљиве окружења и сва јавна спремишта за друге процуреле акредитиве. Третирајте инцидент као и сваки откривени акредитив за плаћање — претпоставите да је пронађен и поступите у складу са тим. <сцрипт типе="апплицатион/лд+јсон">{"@цонтект":"хттпс:\/\/сцхема.орг","@типе":"ФАКПаге","маинЕнтити":[{"@типе":"Куестион","наме":"Зашто су се Гоогле АПИ кључеви раније сматрали безбедним за јавно излагање?","аццептед оф"нсвер":Гоогле":"аццептед оф"нсвер":"тект": његови АПИ-ји, ИоуТубе, Места за коришћење на страни клијента, што значи да су кључеви намерно уграђени у предњи код видљив свима. Безбедносни модел се ослањао на ограничења коришћења као што су листе дозвољених домена и провере упућивача, а не на тајност кључа ротација."}},{"@типе":"Питање","наме":"Шта се променило када је Гоогле увео Гемини АПИ кључеве?","аццептедАнсвер":{"@типе":"Одговор","тект":"За разлику од застарелих Гоогле АПИ-ја, Гемини АПИ кључеви функционишу више као традиционалне тајне \у2014\у2014, излагање вашег модела наплате може довести до наплате или наплате једног налога Исцрпљивање квоте без уграђеног ограничења домена да вас уштеди. Промена значи да програмери сада морају да третирају Гемини кључеве са истом дисциплином као и АВС акредитиве или Стрипе тајне кључеве, чувајући их на страни сервера, а никада у „}},{"@типе":"Куестион","наме":"Како програмери за АИ сервисне кључеве безбедно управљају. данас?","аццептедАнсвер":{"@типе":"Ансвер","тект":"Најбоља пракса је да се сви кључеви АИ АПИ-ја чувају као променљиве окружења на серверу, никада у фајловима контролисаним верзијама или у пакетима клијената, редовно ротирајте кључеве и постављајте ограничења потрошње на нивоу провајдера као што је ја.201 $19\/мо доступно на апп.меваиз.цом \у2014 управља АПИ акредитивима у оквиру своје инфраструктуре тако да тимови нису ма"}},{"@типе":"Куестион","наме":"Шта да радим ако сам већ случајно открио Гемини АПИ кључ?","аццептедАнсвер":"АкцептедАнсвер":"АкцептедАнсвер":"АкцептедАнсвер":"АкцептедАнсвер":"АкцептедАнсвер":{"@нсверретект":"АкцептедАнсвер":{"@нсверретект":" Гоогле Цлоуд Цонсоле и генеришите замену пре него што урадите било шта друго. Прегледајте своју контролну таблу за неочекиване скокове коришћења који би могли да укажу на то да је кључ сакупљен, а затим прегледајте своју базу кодова/ЦД и сва јавна спремишта за друге процуреле акредитиве.