A látszólag ártatlan Google API-kulcsok veszélybe sodorják a Gemini MI-adatokat

Váratlan kockázat: teljes hozzáférés a Gemini MI-hez

A Gemini MI-asszisztens és az LLM API megjelenésével azonban a helyzet megváltozott. Immár a Google Cloud API-kulcsok nemcsak azonosítóként, hanem hitelesítő adatként is szolgálnak a Gemini MI esetében, lehetővé téve, hogy bárki, aki ezekhez a kulcsokhoz jut, privát adatokhoz férjen hozzá. A Truffle Security kutatói közel 2800 ilyen aktív kulcsot találtak az interneten elérhető kódban, köztük pénzügyi, biztonságtechnikai és toborzó cégek oldalain is. Néhány kulcs a Google saját infrastruktúrájáról származott, és egyesek legalább 2023 februárja óta nyilvánosan hozzáférhetők voltak.

Pénzügyi visszaélés és véletlen jogosultságbővítés veszélye

Ezek az API-kulcsok most lehetővé teszik, hogy illetéktelenek lekérdezzék a Gemini MI modelljeit, privát adatokhoz jussanak, vagy pénzügyi visszaélést kövessenek el: egy támadó több száz vagy akár több ezer dollárnyi (azaz több százezer forintnyi) költséget is generálhat naponta a semmit sem sejtő áldozat számláján.

Google lépései és fejlesztői teendők

A Google időközben értesült a problémáról, és együttműködik a kutatókkal a megoldáson. Már bevezette, hogy az új AI Studio-kulcsok alapértelmezetten csak a Geminire legyenek érvényesek, a kiszivárgott kulcsokat letiltják, a fejlesztőket pedig figyelmeztetik a potenciális szivárgásokról. A fejlesztőknek sürgősen ellenőrizniük kell, hogy projektjeikben engedélyezve van-e a Gemini MI, vizsgálják meg minden használt API-kulcs nyilvánosságát, és azonnal cseréljék a gyanús vagy kiszivárgott kulcsokat. Szintén célszerű biztonsági eszközökkel átvizsgálni a kódot és a tárolókat élő kulcsok után kutatva.

2025, adrienne, www.bleepingcomputer.com alapján