کمیته رکن چهارم – گزارشهای تازه نشان میدهد فعالسازی Gemini در یک پروژه Google Cloud میتواند کلیدهای قدیمی و عمومی API را بیسروصدا به اعتبار دسترسی برای سرویسهای هوش مصنوعی تبدیل کند؛ تغییری که هم ریسک افشای داده و هم هزینهتراشی سنگین را بالا میبرد.
به گزارش کمیته رکن چهارم، مسئله فقط «اشتباه پیکربندی» نیست، بلکه یک تغییر در مدل تهدید است: کلیدهای دارای پیشوند AIza که سالها برای سناریوهای کمریسک مثل Maps، Firebase و YouTube در کد سمت کاربر قرار میگرفتند، پس از فعال شدن Generative Language API (Gemini) در همان پروژه، بدون هشدار و بدون تغییر scope میتوانند به endpointهای مرتبط با Gemini دسترسی پیدا کنند؛ از جمله مسیرهایی که برای فایلها و محتوای کششده استفاده میشوند.
بر اساس یافتههای Truffle Security، اسکن دیتاست Common Crawl مربوط به نوامبر ۲۰۲۵ به کشف ۲,۸۶۳ کلید «زنده» انجامیده که بهصورت عمومی در وب در دسترس بودهاند؛ حتی نمونههایی مرتبط با زیرساختهای گوگل نیز در میان آنها گزارش شده است. از سوی دیگر، گزارشهایی نیز از وجود دهها هزار کلید در اپلیکیشنهای اندرویدی خبر میدهند؛ موضوعی که نشان میدهد سطح مواجهه فقط وبسایتها نیست و اکوسیستم موبایل هم در معرض ریسک قرار دارد.
بعد مالی این ماجرا هم جدی است. طبق گزارشی که در یک پست Reddit بازتاب یافته، سرقت یک Google Cloud API Key باعث جهش هزینه از حدود ۱۸۰ دلار ماهانه به ۸۲,۳۱۴.۴۴ دلار در بازه ۱۱ تا ۱۲ فوریه ۲۰۲۶ شده است؛ نمونهای که نشان میدهد «Cost Abuse» در عمل میتواند ظرف یک شبانهروز به رقمهای بسیار بالا برسد.
گوگل در واکنش اعلام کرده اقداماتی برای شناسایی و مسدودسازی کلیدهای افشاشدهای که قصد دسترسی به Gemini دارند اجرا کرده و همچنین درباره تغییرات مرتبط با کلیدهای AI Studio و سازوکارهای هشداردهی صحبت کرده است. در همین چارچوب، توصیه عملی برای سازمانها روشن است: بررسی فعال بودن Generative Language API در پروژهها، ممیزی کلیدهای قدیمی (بهخصوص کلیدهایی که زمانی عمداً public بودهاند)، چرخش کلیدهای افشاشده و اعمال محدودیتهای کاربردی و سرویسمحور روی API keyها تا حالت «Unrestricted/None» به وضعیت پیشفرض عملیاتی تبدیل نشود.
