الأمن السيبراني
#الأمن_السيبراني
#جوجل_جيميني
ثغرة مفاتيح Google API تهدد بيانات Gemini AI بالتعرض (2026)
في تطور أمني مقلق، كشف باحثون عن ثغرة خطيرة تتعلق بمفاتيح Google API، حيث يمكن الآن لمفاتيح كانت تُعتبر غير ضارة سابقاً أن تمنح وصولاً غير مصرح به لمساعد Gemini AI. هذه المشكلة، التي اكتشفتها شركة TruffleSecurity، تسلط الضوء على تحديات الأمن السيبراني المتغيرة في عصر الذكاء الاصطناعي.
تطور خطير: كيف أصبحت مفاتيح API القديمة تهديداً؟
لطالما كانت مفاتيح Google API لخدمات مثل خرائط جوجل ويوتيوب، تُضمّن في كود العميل القابل للوصول بسهولة، دون أن تُعتبر بيانات حساسة. كان المطورون يستخدمونها لتوسيع وظائف مشاريعهم، مثل تحميل الخرائط على موقع ويب أو تتبع الاستخدام أو دمج خدمات Firebase.
ولكن، مع إطلاق مساعد Gemini AI من جوجل، تغير هذا الواقع. أصبحت مفاتيح Google Cloud API هذه تعمل أيضاً كبيانات اعتماد للمصادقة على مساعد جوجل للذكاء الاصطناعي، مما منحها صلاحيات خطيرة لم تكن موجودة سابقاً.
حجم المشكلة وتأثيرها المالي
اكتشف باحثو TruffleSecurity ما يقرب من 3,000 مفتاح API مكشوف بهذه الطريقة، وذلك أثناء فحص صفحات الإنترنت لمؤسسات من قطاعات مختلفة، وحتى من جوجل نفسها. وحذر الباحثون من أن المهاجمين يمكنهم نسخ مفتاح API من مصدر صفحة الويب والوصول إلى البيانات الخاصة المتاحة عبر خدمة Gemini API.
بالإضافة إلى تسريب البيانات، فإن استخدام Gemini API ليس مجانياً. يمكن للمهاجم استغلال هذا الوصول لإجراء مكالمات API لصالحه، مما قد يكبد الضحية تكاليف باهظة. ووفقاً لـ TruffleSecurity، "اعتماداً على النموذج ونافذة السياق، يمكن للمهاجم الذي يستنفد مكالمات API أن يولد آلاف الدولارات من الرسوم يومياً على حساب ضحية واحد."
وأشار الباحثون إلى أن هذه المفاتيح كانت مكشوفة في كود JavaScript العام لسنوات، واكتسبت فجأة امتيازات أكثر خطورة دون أن يلاحظ أحد. فحصت TruffleSecurity مجموعة بيانات Common Crawl لشهر نوفمبر 2025، ووجدت أكثر من 2,800 مفتاح Google API حي مكشوف علناً في الكود.
بعض هذه المفاتيح كانت تستخدمها مؤسسات مالية كبرى وشركات أمنية وشركات توظيف. وقد أبلغت TruffleSecurity جوجل بالمشكلة في 21 نوفمبر من العام الماضي، وقدمت عينات من بنيتها التحتية. كما يتضح من الصورة المرفقة من TruffleSecurity، تم اختبار مفتاح API خاص بجوجل نفسها، والذي كان مكشوفاً منذ فبراير 2023.
استجابة جوجل والتدابير الوقائية
بعد تبادل مطول، صنفت جوجل الخلل في 13 يناير 2026 على أنه "تصعيد امتيازات لخدمة واحدة". وفي بيان لموقع BleepingComputer، صرحت جوجل بأنها على دراية بالتقرير وقد "عملت مع الباحثين لمعالجة المشكلة."
"لقد طبقنا بالفعل تدابير استباقية للكشف عن مفاتيح API المسربة وحظرها من محاولة الوصول إلى Gemini API،" صرح متحدث باسم جوجل لموقع BleepingComputer.
وأوضحت جوجل أن مفاتيح AI Studio الجديدة ستقتصر افتراضياً على نطاق Gemini فقط، وسيتم حظر مفاتيح API المسربة من الوصول إلى Gemini، وستُرسل إشعارات استباقية عند اكتشاف أي تسريبات.
نصائح للمطورين لتعزيز الأمان
يجب على المطورين التحقق مما إذا كانت واجهة برمجة تطبيقات اللغة التوليدية (Generative Language API) ممكّنة في مشاريعهم، ومراجعة جميع مفاتيح API في بيئاتهم لتحديد ما إذا كان أي منها مكشوفاً علناً، وتغييرها فوراً. كما يقترح الباحثون استخدام أداة TruffleHog مفتوحة المصدر للكشف عن المفاتيح الحية المكشوفة في الكود والمستودعات.
الأسئلة الشائعة
اكتشف باحثون أن مفاتيح Google API التي كانت تُستخدم لخدمات مثل الخرائط، يمكنها الآن المصادقة على مساعد Gemini AI. هذا يسمح بالوصول غير المصرح به للبيانات الخاصة وقد يؤدي إلى تكبد تكاليف باهظة.
قبل إطلاق Gemini AI، لم تكن هذه المفاتيح تُعتبر حساسة. ولكن بعد دمج Gemini، أصبحت نفس المفاتيح بمثابة بيانات اعتماد للمصادقة على خدمة الذكاء الاصطناعي، ما منحها صلاحيات خطيرة لم تكن موجودة سابقاً.
أعلنت جوجل عن تطبيق تدابير استباقية للكشف عن المفاتيح المسربة وحظرها من الوصول إلى Gemini AI. كما ستقوم بإرسال إشعارات للمطورين عند اكتشاف تسريبات وتعيين نطاق Gemini فقط للمفاتيح الجديدة.
تنصح TruffleSecurity المطورين بمراجعة جميع مفاتيح API في مشاريعهم، والتأكد مما إذا كان Generative Language API مفعلاً. كما يجب تغيير المفاتيح المكشوفة فوراً واستخدام أدوات مثل TruffleHog للكشف عن أي تسريبات.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!