Недавние исследования показали, что хакеры активно эксплуатируют уязвимости в API Google, что позволяет им получать неограниченный доступ к Gemini AI. Это приводит к серьезным финансовым потерям для разработчиков, которые не подозревают о рисках, связанных с использованием открытых API-ключей.
Специалисты по кибербезопасности из CloudSek выявили, что многие разработчики, следуя рекомендациям Google, встраивают ключи API для таких сервисов, как Maps или Firebase, в свои публичные приложения. Однако они не ожидали, что эти ключи могут быть использованы для доступа к инфраструктуре AI.
Один из случаев касается индивидуального разработчика, чей стартап почти обанкротился после того, как злоумышленник использовал открытый ключ для отправки большого количества запросов к Gemini AI. Несмотря на то, что разработчик отменил ключ в течение нескольких минут после получения уведомления о выставлении счета, система Google Cloud уже зафиксировала расходы в размере 15 400 долларов.
Другие примеры включают японскую компанию, которая понесла убытки в 128 000 долларов из-за несанкционированного использования API Gemini, и небольшую команду разработчиков в Мексике, чьи расходы возросли на 82 314 долларов всего за 48 часов.
CloudSek также обнаружил 32 открытых ключа API в 22 приложениях для Android с общей аудиторией более 500 миллионов пользователей. Это подчеркивает необходимость пересмотра практик управления API-ключами и интеграцией AI, чтобы избежать подобных инцидентов в будущем.
Разработчики, следовавшие рекомендациям Google, теперь сталкиваются с проблемой, когда их приложения имеют активные учетные данные для мощных инструментов AI без уведомлений или возможности отказаться от использования. Технические меры, такие как отзыв ключей и ограничение прав доступа к проектам, могут помочь смягчить последствия, но финансовый и операционный ущерб уже нанесен.