Google, güvenlik araştırmacılarının olası kötüye kullanımı bildirmesinin ardından API anahtarlarıyla ilgili bir sorunu çözmeye çalışıyor. Haritalar veya Firebase gibi Google bulut hizmetlerine erişim için birçok web sitesine entegre edilen düz metin anahtarları da Gemini için sıklıkla kullanılıyor. Herkese açık olarak görülebilen bu API anahtarları, yalnızca yetkisiz tarafların Google'ın yapay zekasını kullanmasına ve bunun sonucunda maliyetlere yol açmasına izin vermekle kalmaz, aynı zamanda gizlilik ve güvenlik açısından endişe verici bir durum olan Gemini'ye yüklenen belgelere ve veri kümelerine erişmelerine de olanak tanır.
Duyurudan sonra devamını okuyun
API anahtarları, 2017'nin başından bu yana genel olarak kullanıma sunulan Google Cloud Uç Noktalarına erişmek için kullanılır. Bu kod, örneğin harita hizmetine veya Google veritabanlarına erişmek veya kullanıcıları kaydetmek için web sitelerine entegre edilir. Bu tür API anahtarları kaynak kodunda görüntülenebilir ve Google'a göre gizli değildir. Yıllar önce bu bir sorun değildi, ancak daha sonra Google Gemini'yi ve yapay zeka (AI) ile birlikte “Üretici Dil API'sini” (Gemini API) tanıttı.
Sorun: Yeni yapay zeka amaçlarına yönelik eski API anahtarları
Gemini API, projelerin Python programlarındaki Gemini gibi Google'ın yapay zekasını kullanmasına olanak tanır. Ancak Google, daha önce web sitelerine entegre edilmiş olabilecek mevcut API anahtarlarının kullanılmasına da izin verir. Truffle Security'deki güvenlik araştırmacılarına göre, Gemini için bu tür API anahtarlarının etkinleştirilmesi önceden uyarı veya ek onay veya e-posta bildirimi olmadan gerçekleşiyor. Ayrıca, yeni bir Google Cloud API anahtarı oluşturulduğunda bile bu anahtar Gemini dahil tüm API'ler için kullanılabildiğinden güvenli olmayan bir varsayılan belirtilir.
Yabancılar API anahtarlarına yalnızca web sitelerindeki kaynak kodunu okuyarak erişebilirler. Bu, daha önce Gemini için kullanılan özel verileri görüntülemenize ve Google'ın yapay zekasını bulutun kendisinde kullanmanıza olanak tanır; bu, API erişimine ve ayırdığınız yapay zeka modeline bağlı olarak ek maliyetlere neden olabilir. Yetkisiz kişiler Gemini için ayrılmış kotayı tamamen tüketebilir ve API'ye yasal erişim artık mümkün olmayacaktır.
API anahtarının yanlış kullanımı nedeniyle maliyet patlaması
Küçük bir Meksikalı start-up'tan bir geliştirici, halihazırda Reddit'te böyle bir durumu bildiriyor. Genellikle Google Cloud API anahtarının aylık faturası 180 ABD dolarıdır. Ancak Şubat ayı ortasında anahtar, Gemini 3 Pro için resim ve metin oluşturmak amacıyla yetkisiz kişiler tarafından yoğun bir şekilde kullanıldı ve böylece fatura 82.314,44 dolara fırladı. Bu, Google'ın bu tasarıda ısrar etmesi halinde üç kişilik start-up'ın iflas riskiyle karşı karşıya kalacağı anlamına geliyor.
Duyurudan sonra devamını okuyun
Ayrıca okuyun
Güvenlik araştırmacıları, yetkisiz Gemini erişimi için kötüye kullanılabilecek, herkese açık 2.863 API anahtarı keşfettiğinden, bunun münferit bir durum olması muhtemel değildir. Bu sadece hobi projelerini değil aynı zamanda finansal kurumları, güvenlik şirketlerini, işe alım ajanslarını ve hatta Google'ın kendisini de etkiliyor. Bu aynı zamanda Google'ı sorunu Aralık 2025'te çözmeye ikna etti. Google, Şubat ayı başlarında davayı çözmek için hâlâ çalıştığını söyledi. Gemini API belgelerinde şirket halihazırda “güvenlik açıklarından kaynaklanan beklenmedik maliyetlere ilişkin tavsiyeler” ve “önemli sızıntılar durumunda güvenlik önlemleri” sağlıyor.
API anahtarı kullanıcıları, Gemini API'nin etkin olup olmadığını görmek için Google Cloud Platform (GCP) konsolunu kontrol etmelidir. Bu durumda API anahtarlarının kullanımını dikkatlice kontrol etmeniz gerekir. Herkese açık API anahtarları derhal değiştirilmelidir.
(fd)
Bir yanıt yazın