Hacker News

گوگل API کیز راز نہیں تھیں، لیکن پھر جیمنی نے قوانین کو تبدیل کر دیا۔

تبصرے

2 min read Via trufflesecurity.com

Mewayz Team

Editorial Team

Hacker News

جب "پبلک بذریعہ ڈیزائن" سیکیورٹی کی ذمہ داری بن جاتا ہے

تقریباً دو دہائیوں سے، گوگل کے ماحولیاتی نظام پر تعمیر کرنے والے ڈویلپرز نے ایک لطیف لیکن اہم سبق سیکھا: گوگل API کیز حقیقت میں راز نہیں ہیں۔ اگر آپ نے جاوا اسکرپٹ فائل میں یوٹیوب ڈیٹا API کلید کو سرایت کیا ہے تو گوگل کو تشویش نہیں ہوئی۔ اگر آپ کی Maps API کلید عوامی GitHub ریپوزٹری میں دکھائی دیتی ہے، تو سیکیورٹی کا جواب بنیادی طور پر ڈومین کی پابندیاں قائم کرنے کے لیے ایک جھکاؤ اور یاد دہانی تھی۔ پورا ماڈل اس مفروضے کے ارد گرد بنایا گیا تھا کہ یہ کلیدیں کلائنٹ سائیڈ کوڈ میں رہیں گی، جس نے DevTools کو کھولا ہے۔

اس فلسفے کو ایک طویل عرصے تک سمجھ میں آیا۔ ڈومین کی پابندیوں کے بغیر سامنے آنے والی Maps API کلید حیران کن بل جمع کر سکتی ہے، لیکن یہ مریضوں کے ریکارڈ سے سمجھوتہ کرنے یا بینک اکاؤنٹ کو ختم کرنے والی نہیں تھی۔ دھماکے کا رداس مالی اور قابل انتظام تھا۔ Google کی ٹولنگ — ریفرر پابندیاں، IP وائٹ لسٹنگ، کوٹہ کی حدیں — کو نقصان پر قابو پانے کے لیے ڈیزائن کیا گیا تھا، نہ کہ نمائش کو مکمل طور پر روکنے کے لیے۔

پھر جیمنی آیا، اور اصول بدل گئے۔ مسئلہ یہ ہے کہ لاکھوں ڈویلپرز نے میمو حاصل نہیں کیا۔

لیگیسی مینٹل ماڈل جو اب ڈویلپرز کو جلا رہا ہے

گوگل ڈویلپر کا پرانا تجربہ جان بوجھ کر اجازت دینے والا تھا۔ جب آپ نے Maps JavaScript API کلید بنائی، تو دستاویزات نے عملی طور پر آپ کو اسے براہ راست اپنے HTML میں ڈالنے کی ترغیب دی۔ سیکیورٹی ماڈل رازداری نہیں تھا - یہ پابندی تھی۔ آپ اپنے ڈومین کی کلید کو مقفل کریں گے، کوٹہ الرٹس سیٹ کریں گے، اور آگے بڑھیں گے۔ یہ عملی انجینئرنگ تھی: کلائنٹ سائیڈ ایپلی کیشنز حقیقی طور پر پرعزم صارفین سے راز نہیں رکھ سکتیں، اس لیے گوگل نے ایک ایسا نظام بنایا جس نے اس حقیقت کو تسلیم کیا۔

اس سے ڈویلپرز کی ایک نسل پیدا ہوئی — اور زیادہ اہم بات یہ ہے کہ ادارہ جاتی عادات کی ایک نسل — جہاں Google API کیز نے ایک مختلف ذہنی زمرہ پر قبضہ کیا، جیسے کہ، ایک Stripe خفیہ کلید یا AWS رسائی کی سند۔ آپ اپنی پٹی کی خفیہ کلید کو عوامی ریپو میں نہیں چسپاں کریں گے۔ لیکن آپ کی Maps کی کلید؟ یہ عملی طور پر ایک کنفیگریشن ویلیو تھی، کوئی راز نہیں۔ بہت سی ٹیموں نے انہیں پبلک فیسنگ کنفگ فائلوں، README فائلوں میں، یہاں تک کہ کلائنٹ سائڈ انوائرمنٹ ویریبلز میں NEXT_PUBLIC_ یا REACT_APP_ کے ساتھ پہلے سے سوچے بغیر اسٹور کیا۔

بے نقاب اسناد کے لیے GitHub کو اسکین کرنے والے سیکیورٹی محققین نے Google API کیز کو بھی مختلف طریقے سے استعمال کرنا سیکھا۔ ایک لیک شدہ Maps کلید ایک کم شدت کی تلاش تھی۔ ایک لیک ہونے والی جیمنی کلید ایک بالکل مختلف گفتگو ہے۔

جیمنی کے ساتھ کیا بدلا — اور یہ کیوں اہم ہے

Google کا Gemini API پرانی پلے بک کی پیروی نہیں کرتا ہے۔ جب آپ Google AI اسٹوڈیو کے ذریعے ایک Gemini API کلید تیار کرتے ہیں، تو آپ Maps یا YouTube کلید سے بنیادی طور پر مختلف خطرے والے پروفائل کے ساتھ ایک سند بنا رہے ہوتے ہیں۔ جیمنی کلیدیں بڑی زبان کے ماڈل کے تخمینے تک رسائی کی تصدیق کرتی ہیں — ایک ایسی خدمت جس پر گوگل کے حقیقی کمپیوٹ وسائل کی لاگت آتی ہے اور جو آپ کو ٹوکن کے ذریعے بل دیتی ہے، صفحہ کے نظارے سے نہیں۔

مزید تنقیدی طور پر، جیمنی API کیز میں وہی بلٹ ان ڈومین پابندی کا طریقہ کار نہیں ہے جس نے Google کی دیگر کلیدوں کو بے نقاب کرنے کو زندہ رکھا۔ "اسے میری ویب سائٹ کے ڈومین پر مقفل کریں" کا کوئی آسان کنٹرول نہیں ہے جو کسی ایسے حملہ آور کو روکے جس کو آپ کی کلید کسی عوامی ذخیرے میں ملی ہو اور وہ کسی دوسرے ملک کے سرور سے آپ کا کوٹہ — یا آپ کی بلنگ کی حد — کو استعمال کرنے سے روکے۔

خطرہ صرف مالی نہیں ہے۔ ایک بے نقاب جیمنی کلید کو نقصان دہ مواد تیار کرنے، فوری انجیکشن حملے کرنے، یا ایسے ٹولز بنانے کے لیے استعمال کیا جا سکتا ہے جو Google کی سروس کی شرائط کی خلاف ورزی کرتے ہیں — سبھی کا بل آپ کے اکاؤنٹ پر کیا جاتا ہے اور آپ کی شناخت پر واپس جا سکتے ہیں۔

2024 میں، سیکیورٹی محققین نے اکیلے GitHub پر ہزاروں بے نقاب Gemini API کیز کی نشاندہی کی، ان میں سے بہت سے ایسے ذخیروں میں ہیں جنہوں نے پہلے کسی واقعے کے بغیر دیگر Google API کیز کی میزبانی کی تھی۔ ڈویلپرز اپنے تاریخی معیارات سے لاپرواہ نہیں تھے - وہ ایک ذہنی ماڈل کا اطلاق کر رہے تھے جسے استعمال کرنے کے لیے گوگل نے خود انہیں تربیت دی تھی۔ ماحول عادتوں سے زیادہ تیزی سے بدلا ہے۔

حادثاتی نمائش کی اناٹومی

یہ سمجھنا کہ یہ نمائشیں کیسے ہوتی ہیں ان کی روک تھام کی طرف پہلا قدم ہے۔ ناکامی کے طریقے تمام سائز کی ٹیموں میں نمایاں طور پر یکساں ہیں:

  • ماحولیاتی متغیر کی غلط درجہ بندی: Google Maps کیز کے لیے استعمال ہونے والے ڈویلپرز جیمنی کیز کو NEXT_PUBLIC_ یا VITE_ کے ساتھ استعمال کرتے ہیں، انہیں فوری طور پر بنڈل کلائنٹ سائیڈ کوڈ میں ظاہر کرتے ہیں۔
  • ریپوزٹری ہسٹری کی آلودگی: کنفگ فائل میں ایک کلید شامل کی جاتی ہے، کمٹڈ، پھر ہٹا دی جاتی ہے — لیکن گٹ ہسٹری غیر معینہ مدت تک تلاش کے قابل رہتی ہے۔ حملہ آور خاص طور پر اس تاریخ کو کم کرنے کے لیے truffleHog اور gitleaks جیسے ٹولز کا استعمال کرتے ہیں۔
  • نوٹ بک اور پروٹوٹائپ کا رساو: Jupyter نوٹ بک میں جیمنی انضمام کو پروٹو ٹائپ کرنے والے ڈیٹا سائنسدان سیل آؤٹ پٹس میں ایمبیڈ کردہ کلیدوں کے ساتھ ان نوٹ بکس کو GitHub پر دھکیلتے ہیں۔
  • CI/CD غلط کنفیگریشن: ریپوزٹری سیکرٹ کے طور پر محفوظ کی گئی کلیدیں غلطی سے بلڈ لاگز میں گونج جاتی ہیں جو GitHub ایکشنز یا اس جیسے پلیٹ فارمز پر عوامی طور پر نظر آتی ہیں۔
  • تیسرے فریق کی خدمت کا پھیلاؤ: ڈویلپرز ان پلیٹ فارمز کی حفاظتی کرنسیوں کا جائزہ لیے بغیر اینالیٹکس ڈیش بورڈز، بغیر کوڈ والے ٹولز، یا انٹیگریشن پلیٹ فارمز میں چابیاں چسپاں کرتے ہیں۔
  • ٹیم کمیونیکیشن چینلز: سلیک، ڈسکارڈ، یا ای میل پر شیئر کی جانے والی کلیدیں تلاش کے قابل میسج ہسٹری میں ختم ہوتی ہیں جو گردش کے شیڈول سے باہر رہتی ہیں۔

عام دھاگہ غفلت نہیں ہے - یہ سیاق و سباق کا خاتمہ ہے۔ وہ رویے جو ایک سیاق و سباق میں محفوظ تھے (گوگل میپس ڈیولپمنٹ) دوسرے میں خطرناک ہیں (جیمنی ڈیولپمنٹ)، اور اسناد کی بصری مماثلت اس فرق کو کھونا آسان بناتی ہے۔

سیکریٹ مینجمنٹ کلچر کی تعمیر جو اسکیل کرتا ہے

جیمنی صورت حال اس چیز کے لیے ایک مفید زبردستی کام ہے جسے بہت سی ترقیاتی ٹیمیں موخر کر رہی ہیں: ایڈہاک اپروچ کے بجائے اصل رازوں کے انتظام کے بنیادی ڈھانچے کی تعمیر۔ چھوٹی ٹیموں کے لیے، یہ اوور انجینئرنگ کی طرح محسوس ہو سکتا ہے، لیکن اسناد کی نمائش کی لاگت — بلنگ فراڈ، اکاؤنٹ کی معطلی، ڈیٹا کی خلاف ورزی کی اطلاعات — اس کو درست کرنے کی کوشش سے بہت زیادہ ہے۔

جدید رازوں کا نظم و نسق ایک ٹائرڈ نقطہ نظر کی پیروی کرتا ہے۔ بنیادی ڈھانچے کی سطح پر، HashiCorp Vault، AWS Secrets Manager، یا Google Secret Manager جیسے ٹولز خودکار گردش کی صلاحیتوں کے ساتھ مرکزی، قابل آڈیٹ کریڈینشل اسٹوریج فراہم کرتے ہیں۔ یہ صرف بڑے کاروباری اداروں کے لیے نہیں ہیں — Doppler اور Infisical جیسی خدمات قابل رسائی قیمت پوائنٹس پر دو یا تین ڈویلپرز کی ٹیموں کے لیے ایک جیسے نمونے لاتی ہیں۔

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

کوڈ کی سطح پر، نظم و ضبط آسان ہے: اسناد کبھی بھی سورس کوڈ کو نہیں چھوتی ہیں۔ فل سٹاپ۔ کمنٹس آؤٹ لائنوں میں نہیں، مثال کی فائلوں میں نہیں، جعلی نظر آنے والی اقدار کے ساتھ ٹیسٹ فکسچر میں نہیں جو اصلی نکلیں۔ پہلے سے کمٹ ہکس چلانے والے ٹولز جیسے Detect-secrets یا gitleaks خلاف ورزیوں کو دور دراز کے ذخیروں تک پہنچنے سے پہلے پکڑ لیتے ہیں۔ یہ ہکس ترتیب دینے میں منٹ لگتے ہیں اور آپ کے واقعے کے ردعمل کی پریشانی سے کئی سال دور ہوتے ہیں۔

پیچیدہ آپریشنل اسٹیکس چلانے والی تنظیموں کے لیے — CRM ورک فلو سے لے کر پے رول کے انضمام تک کسٹمر کا سامنا کرنے والے بکنگ سسٹمز تک ہر چیز کا انتظام کرنا — مرکزی اسناد کا انتظام اور بھی زیادہ اہم ہو جاتا ہے۔ Mewayz جیسے پلیٹ فارمز، جو 207 کاروباری ماڈیولز کو ایک ہی آپریشنل چھتری کے نیچے متحد کرتا ہے، اس اصول کے ساتھ بنائے گئے ہیں: اسناد اور API انضمام کا انتظام پلیٹ فارم کی سطح پر کیا جاتا ہے، انفرادی ماڈیولز یا انفرادی ڈویلپرز کے ماحول میں بکھرے ہوئے نہیں۔ جب کسی کلید کو گھمانے کی ضرورت ہوتی ہے، تو یہ ایک بار ہوتا ہے، ایک ہی جگہ، سترہ مختلف انٹیگریشن پوائنٹس پر نہیں۔

بلنگ اٹیک ویکٹر: ایک خطرہ ماڈل ڈیولپرز کو کم سمجھتا ہے

سیکیورٹی بحث اکثر ڈیٹا کی خلاف ورزیوں اور غیر مجاز رسائی پر مرکوز ہوتی ہے۔ جیمنی کی نمائش کا مسئلہ ایک تیسرے خطرے کے ماڈل کا اضافہ کرتا ہے جو مساوی توجہ کا مستحق ہے: پیمانے پر بلنگ فراڈ۔

بڑے زبان کے ماڈل کا اندازہ مہنگا ہے۔ GPT-4 اور جیمنی الٹرا پروسیس ٹوکنز ہر ایک سینٹ کے فریکشن پر، لیکن پیمانے پر - ہزاروں درخواستیں، لاکھوں ٹوکنز - یہ فریکشنز بہت تیزی سے ہزاروں ڈالر تک بڑھ جاتے ہیں۔ حملہ آور جو بے نقاب AI API چابیاں دریافت کرتے ہیں ضروری نہیں کہ وہ آپ کا ڈیٹا چاہتے ہوں۔ وہ مفت حساب چاہتے ہیں۔ وہ آپ کے اسناد کا استعمال اپنی AI سروسز چلانے، تخمینہ کی صلاحیت کو دوبارہ فروخت کرنے، یا اپنی ایپلیکیشنز کو دباؤ کے ساتھ جانچنے کے لیے استعمال کریں گے — یہ سب کچھ اس وقت تک جب بل آپ کو جاتا ہے۔

ایک ڈویلپر نے چھ گھنٹے سے بھی کم وقت کے لیے عوامی ذخیرے میں سامنے آنے والی جیمنی کلید سے $23,000 بل کا دستاویزی دستاویز کیا۔ حملہ آور نے اس استحصال کو فوری طور پر خودکار کر دیا تھا، جب تک کہ گوگل کی دھوکہ دہی کا پتہ نہ لگ جائے تب تک ہائی تھرو پٹ جنریشن کے کاموں کو مسلسل چلا رہا تھا۔ ڈیولپر کو بالآخر ایک طویل تنازعہ کے عمل کے بعد چارجز واپس لے لیے گئے، لیکن اس عرصے کے دوران اکاؤنٹ کو معطل کر دیا گیا، اور اس کے ساتھ پروڈکشن سروسز کو بھی ختم کر دیا گیا۔

یہی وجہ ہے کہ بلنگ الرٹس اور کوٹہ کی حدود مناسب رازوں کے انتظام کا متبادل نہیں ہیں — یہ دفاع کی ایک آخری لائن ہیں جس کی آپ کو امید ہے کہ آپ کو کبھی ضرورت نہیں پڑے گی۔ AI API اکاؤنٹس پر ماہانہ اخراجات کی سخت حدیں طے کرنا اب ایک میز پر ہے، لیکن اصل تحفظ اس بات کو یقینی بنا رہا ہے کہ وہ اسناد پہلے کبھی بھی لیک نہ ہوں۔

منتقلی کرنے والی ٹیموں کے لیے عملی اقدامات

اگر آپ کی ٹیم پرانے ذہنی ماڈل کے تحت Google API انضمام بنا رہی ہے اور اب جیمنی کو اسٹیک میں شامل کر رہی ہے، تو یہاں ایک حقیقت پسندانہ اصلاحی چیک لسٹ ہے:

  1. موجودہ ذخیروں کا فوری طور پر آڈٹ کریں۔ اپنی مکمل گٹ ہسٹری کے خلاف truffleHog یا gitleaks چلائیں، نہ صرف موجودہ ہیڈ کے خلاف۔ خاص طور پر کسی ایسے ذخیرہ پر توجہ مرکوز کریں جس میں ماضی میں گوگل API کلید کا استعمال ہوا ہو۔
  2. تمام بے نقاب کلیدوں کو گھمائیں۔ اگر جیمنی کلید کبھی کسی کمٹ میں ظاہر ہوئی ہے، تو فرض کریں کہ اس سے سمجھوتہ کیا گیا ہے۔ اسے منسوخ کریں اور ایک نیا بنائیں۔ یہ اندازہ لگانے کی کوشش نہ کریں کہ آیا کسی کو "حقیقت میں" یہ ملا ہے۔
  3. پری کمٹ اسکیننگ کو لاگو کریں۔ ہر ڈویلپر کی مشین پر اور CI/CD پائپ لائنوں میں ایک نان بائی پاس گیٹ کے طور پر خفیہ پتہ لگانے والے ہکس نصب کریں۔
  4. ایک کلیدی انوینٹری قائم کریں۔ جانیں کہ کون سی خدمات کے پاس کون سی اسناد ہیں، ان کی ملکیت کون ہے، انہیں آخری بار کب گھمایا گیا تھا، اور کہاں استعمال کیا گیا تھا۔ ایک اسپریڈشیٹ ایک عمدہ نقطہ آغاز ہے۔ ایک راز کا مینیجر منزل ہے۔
  5. بلنگ الرٹس اور سخت حدود متعین کریں۔ ہر AI API اکاؤنٹ پر، اپنے متوقع ماہانہ اخراجات کے 50% اور 80% پر الرٹس ترتیب دیں، اور سخت حدیں مقرر کریں جو تباہ کن بلنگ واقعات کو روکیں۔
  6. نئے ذہنی ماڈل کو واضح طور پر دستاویز کریں۔ واضح طور پر بتانے کے لیے اپنی ٹیم کے آن بورڈنگ مواد اور انجینئرنگ ہینڈ بک کو اپ ڈیٹ کریں کہ Gemini API کلیدیں اعلیٰ حساسیت کی سندیں ہیں جن کے لیے ادائیگی کے پروسیسر کے رازوں جیسا ہی سلوک درکار ہے۔

پلیٹ فارم پر منحصر کاروبار کے لیے وسیع تر سبق

جیمنی صورت حال ایک ایسے نمونے کی عکاسی کرتی ہے جو فریق ثالث کے پلیٹ فارمز کے ساتھ گہرائی سے مربوط کسی بھی کاروبار کو متاثر کرتی ہے: پلیٹ فارم تیار ہوتے ہیں، اور ان کے ساتھ حفاظتی کرنسی کے تقاضے تیار ہوتے ہیں، لیکن ان پلیٹ فارمز کو استعمال کرنے والی ٹیموں کی ادارہ جاتی عادات اکثر اپنی رفتار برقرار نہیں رکھتی ہیں۔ جو کل محفوظ تھا وہ آج خطرناک ہے، اور ان دو ریاستوں کے درمیان فاصلہ وہ جگہ ہے جہاں خلاف ورزیاں ہوتی ہیں۔

یہ پیچیدہ آپریشنل اسٹیک چلانے والے کاروباروں کے لیے خاص طور پر شدید ہے۔ کسٹمر سروس، تجزیات، مواد کی تیاری، اور مصنوعات کی سفارشات میں AI سے چلنے والی خصوصیات استعمال کرنے والی کمپنی میں درجن بھر مختلف سیاق و سباق میں جیمنی انضمام ہو سکتا ہے - اگر اسناد کو متضاد طریقے سے ہینڈل کیا جاتا ہے تو ہر ایک ممکنہ نمائش کا نقطہ ہے۔ حل صرف بہتر انفرادی ڈویلپر عادات نہیں ہے؛ یہ آرکیٹیکچرل ہے. اسناد تک رسائی کو پلیٹ فارم کی سطح پر مرکزی، آڈٹ اور کنٹرول کرنے کی ضرورت ہے۔

جدید کاروباری آپریٹنگ سسٹمز کو تیزی سے اس بات کو ذہن میں رکھتے ہوئے ڈیزائن کیا گیا ہے۔ جب Mewayz اپنے 207-ماڈیول ایکو سسٹم میں ذہین CRM ورک فلوز سے لے کر خودکار تجزیات تک - AI صلاحیتوں کو اپنے پورے سوٹ میں ضم کرتا ہے - تو اسناد کا انتظام بنیادی ڈھانچے کی تہہ پر ہینڈل کیا جاتا ہے، نہ کہ ایپلیکیشن پرت پر۔ انفرادی ماڈیول ڈویلپر خام API کیز کو ہینڈل نہیں کرتے ہیں۔ وہ تجریدی پرتوں کے ذریعے صلاحیتوں تک رسائی حاصل کرتے ہیں جو گردش کی پالیسیوں کو نافذ کرتی ہے، آڈٹ تک رسائی، اور اگر کچھ غلط ہو جائے تو دھماکے کے رداس کو محدود کرتی ہے۔ یہ وہ فن تعمیر ہے جس کا جیمنی دور مطالبہ کرتا ہے: نہ صرف بہتر عادات، بلکہ بہتر نظام جو صحیح عادت کو واحد دستیاب آپشن بناتے ہیں۔

Google نے Maps اور YouTube کے لیے ایک قابل اجازت API کلیدی ماڈل بنانے میں غلطی نہیں کی۔ وہ ماڈل ان خدمات کے لیے موزوں تھا۔ لیکن جیسا کہ APIs کی صلاحیتیں اور لاگت کے پروفائلز ڈرامائی طور پر تیار ہوتے ہیں - اور جیسا کہ AI APIs اس ارتقاء میں شاید سب سے تیز انفلیکشن پوائنٹ کی نمائندگی کرتے ہیں - پوری صنعت کو اپنے ڈیفالٹس کو دوبارہ ترتیب دینے کی ضرورت ہے۔ اس ماحول میں پروان چڑھنے والے ڈویلپرز وہ نہیں ہوں گے جنہوں نے پرانے اصولوں کو بہترین طریقے سے سیکھا ہو، بلکہ وہ لوگ ہوں گے جو اس وقت پہچانتے ہیں جب اصول بنیادی طور پر تبدیل ہوتے ہیں۔

اکثر پوچھے گئے سوالات

Google API کیز کو تاریخی طور پر عوامی طور پر ظاہر کرنے کے لیے کیوں محفوظ سمجھا جاتا تھا؟

گوگل نے اپنے بہت سے APIs — Maps, YouTube, Places — کو کلائنٹ سائیڈ کے استعمال کے لیے ڈیزائن کیا ہے، یعنی چابیاں جان بوجھ کر فرنٹ اینڈ کوڈ میں سرایت کی گئی تھیں جو کسی کو بھی دکھائی دے سکتی ہیں۔ سیکیورٹی ماڈل کلیدی رازداری کے بجائے استعمال کی پابندیوں جیسے ڈومین کی اجازت دینے والی فہرستوں اور حوالہ دہندہ کی جانچ پر انحصار کرتا ہے۔ برسوں سے، ایک بے نقاب کلید کو کنفیگریشن کا مسئلہ سمجھا جاتا تھا، نہ کہ ایک اہم کمزوری جس کے لیے فوری گردش کی ضرورت ہوتی ہے۔

جب گوگل نے Gemini API کیز متعارف کروائیں تو کیا بدلا؟

میراثی Google APIs کے برعکس، Gemini API کلیدیں روایتی رازوں کی طرح کام کرتی ہیں — کسی کو بے نقاب کرنے کے نتیجے میں آپ کے بلنگ اکاؤنٹ پر غیر مجاز چارجز، ماڈل کا غلط استعمال، یا کوٹہ ختم ہو سکتا ہے جس میں آپ کو بچانے کے لیے کوئی بلٹ ان ڈومین پابندی نہیں ہے۔ شفٹ کا مطلب ہے کہ ڈویلپرز کو اب جیمنی کیز کو AWS اسناد یا اسٹرائپ سیکرٹ کیز کے ساتھ اسی ڈسپلن کے ساتھ برتاؤ کرنا چاہیے، انہیں سرور کے سائیڈ پر اسٹور کرنا چاہیے اور کبھی بھی کلائنٹ کا سامنا کرنے والے کوڈ میں نہیں۔

ڈیولپرز کو آج AI سروسز کے لیے API کیز کو محفوظ طریقے سے کیسے منظم کرنا چاہیے؟

بہترین عمل یہ ہے کہ سرور پر تمام AI API کیز کو ماحولیاتی متغیرات کے طور پر اسٹور کیا جائے، کبھی بھی ورژن کے زیر کنٹرول فائلوں یا کلائنٹ بنڈلز میں نہیں۔ سیکرٹ مینیجر کا استعمال کریں، چابیاں باقاعدگی سے گھمائیں، اور فراہم کنندہ کی سطح پر اخراجات کی حدیں مقرر کریں۔ Mewayz جیسے پلیٹ فارمز — app.mewayz.com پر $19/mo پر دستیاب ایک 207 ماڈیول بزنس OS — اپنے انفراسٹرکچر کے اندر API کی کریڈینشل مینجمنٹ کو ہینڈل کرتے ہیں تاکہ ٹیمیں سروسز میں دستی طور پر کلیدوں کو جوڑ نہ سکیں۔

اگر میں نے غلطی سے Gemini API کلید کو پہلے ہی بے نقاب کر دیا ہے تو مجھے کیا کرنا چاہیے؟

Google Cloud Console کے ذریعے سمجھوتہ شدہ کلید کو فوری طور پر منسوخ کریں اور کچھ اور کرنے سے پہلے ایک متبادل تخلیق کریں۔ اپنے بلنگ ڈیش بورڈ کو غیر متوقع استعمال کے اضافے کے لیے آڈٹ کریں جو اس بات کی نشاندہی کر سکے کہ کلید کی کٹائی ہوئی ہے۔ پھر اپنے کوڈبیس، CI/CD ماحول کے متغیرات، اور دیگر لیک شدہ اسناد کے لیے کسی بھی عوامی ذخیرے کا جائزہ لیں۔ واقعے کے ساتھ اس طرح برتاؤ کریں جیسا کہ آپ کو ادائیگی کی کوئی سند ظاہر ہوتی ہے — فرض کریں کہ یہ مل گیا اور اس کے مطابق عمل کریں۔