Halaman Utama
Berita
Butiran

Google Menghadapi Cabaran Keselamatan AI Sebagai Isu Penagihan API Gemini Muncul

icon币界网
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
COO Google Cloud, Francis de Souza, memperingatkan bahawa strategi AI mesti selari dengan rancangan data dan keselamatan, bukan sebagai pertimbangan akhir. Sebuah kebocoran keselamatan baru-baru ini mengungkap kelemahan dalam pelaksanaan Google, apabila pembangun menghadapi caj tinggi akibat akses Gemini API yang tidak sah. The Register melaporkan bahawa kekunci API yang bocor, asalnya untuk Google Maps, digunakan untuk mengakses Gemini, menyebabkan bil sehingga $10,000. Google mengembalikan dana kepada pengguna tetapi tidak akan mengubah dasar penagihan mereka. Aikido mendapati bahawa kekunci yang telah dipadamkan masih boleh digunakan selama sehingga 23 minit disebabkan penangguhan pencabulan. Berita AI + kripto terus menonjolkan risiko keselamatan peringkat platform.
Laman web dunia kripto melaporkan:

TechCrunch melaporkan bahawa AI generatif sedang mendorong isu keselamatan perniagaan ke hadapan. Francis de Souza, Chief Operating Officer Google Cloud, menyatakan dalam satu acara bahawa semasa perniagaan mempercepatkan AI, mereka tidak boleh menunda keselamatan atau menyerahkannya kepada pekerja masing-masing. Menurutnya, strategi AI mesti dipromosikan serentak dengan strategi data dan strategi keselamatan.

Artikel tersebut menunjukkan bahawa penilaian ini sendiri bukanlah sesuatu yang baru, tetapi risikonya menjadi lebih cepat terdedah setelah alat AI masuk dengan cepat ke dalam proses perusahaan. de Souza secara khusus menyebut masalah "AI bayangan", iaitu pekerja mengelakkan tatacara perusahaan dan menggunakan alat AI peribadi secara langsung. Tindakan ini membuatkan perusahaan sukar untuk mengendalikan audit, kawalan keizinan, dan pengurusan data secara seragam.

Permukaan serangan sudah tidak lagi hanya pada rangkaian tradisional

de Souza berpendapat bahawa model pertahanan lama sudah tidak lagi sejalan dengan kecepatan semasa. Artikel tersebut mengutip pernyataannya yang menyatakan bahawa tempoh purata antara sistem pertama kali ditembus hingga serangan memasuki peringkat seterusnya telah berkurang dari 8 jam menjadi 22 saat. Sementara itu, objek yang perlu dilindungi oleh perusahaan tidak lagi hanya jaringan dan terminal.

Titik risiko semasa juga termasuk elemen-elemen baharu seperti model, saluran data latihan, agen, dan petunjuk. Terutamanya, agen AI yang beroperasi di dalam perusahaan mungkin secara automatik mengesan gudang data yang tidak diperhatikan selama bertahun-tahun dan mengungkap semula maklumat sensitif yang sebelumnya tersembunyi.

Google menyokong perlindungan berplatform

Cara penangkalan yang diberikan oleh de Souza adalah memindahkan pertahanan juga ke "mesin ke mesin". Beliau menyatakan bahawa syarikat perlu mengambil pendekatan berplatform untuk mengekalkan strategi keselamatan yang konsisten di antara pelbagai persekitaran awan dan model yang berbeza, bukan hanya memperbaiki kelemahan satu persatu selepas perniagaan dilancarkan.

Beliau juga menyatakan, ini bukan lagi hanya tugas pasukan keselamatan, tetapi isu yang memerlukan penyertaan terus-menerus oleh pihak penguasa dan pengurusan. Sebab, AI sedang mengubah cara akses kepada sistem dalaman syarikat, dan prosedur keselamatan tradisional yang bergantung kepada tindakan manusia semakin sukar untuk menangani secara tepat pada masanya.

Namun, artikel tersebut juga menyatakan bahawa industri masih kekurangan cukup banyak tenaga yang mampu mengawasi sistem semacam ini. Lea Kissner, Chief Information Security Officer LinkedIn, mengatakan kepada The New York Times minggu ini bahawa kelajuan pertumbuhan lubang keamanan yang dibawa oleh AI masih lebih cepat daripada kapasiti pasukan keselamatan untuk mengatasinya, dan industri mungkin memerlukan beberapa tahun lagi untuk membentuk pemahaman keselamatan AI yang lebih stabil.

Peristiwa Gemini mengekspos jurang pelaksanaan platform

Artikel tersebut berpendapat bahawa cadangan keselamatan yang diajukan oleh Google Cloud walaupun munasabah, tetapi platform itu sendiri mempunyai kekurangan yang jelas dalam pelaksanaan. The Register baru-baru ini melaporkan secara berturut-turut bahawa beberapa pembangun Google Cloud menerima bil dalam jumlah puluhan ribu dolar akibat panggilan API Gemini yang tidak dibenarkan, dan sebahagian daripada mereka sebelum ini tidak secara aktif menghidupkan perkhidmatan berkaitan.

Laporan tersebut menyebutkan bahawa kes-kes ini kebanyakannya berkaitan dengan kunci API yang terdedah secara awam. Kunci terkait awalnya digunakan untuk Google Maps dan diletakkan di lokasi awam mengikut panduan sebelumnya dari Google. Selepas itu, Google memperluas lingkungan pemanggilan kunci-kunci ini, tetapi pembangun tidak diberitahu dengan jelas mengenai perubahan tersebut, menyebabkan penyerang boleh mengakses perkhidmatan Gemini dan menghasilkan kos yang tinggi.

  • Prentus mengatakan USD 10,138 telah diproses dalam masa 30 minit
  • Seorang pembangun lain menerima bil sebanyak kira-kira 17,000澳元
  • Kuota sebenar selepas peningkatan automatik boleh mencapai sehingga USD100,000

Selepas dilaporkan oleh media, Google telah mengembalikan dana kepada pembangun yang berkaitan, tetapi tidak merancang untuk mengubah dasar peningkatan automatik peringkat bayaran. Syarikat memberikan alasan bahawa platform lebih mengutamakan mengelakkan gangguan perkhidmatan berbanding mematuhi had belanjawan yang ditetapkan pengguna.

Terdapat jendela yang masih boleh digunakan selepas kunci dihapus

Artikel tersebut juga menyebutkan satu kajian oleh syarikat keselamatan Aikido. Kajian itu menyatakan bahawa walaupun pembangun menghapus kunci segera selepas mengetahui kebocoran, penyerang masih mungkin menggunakan kunci tersebut selama sehingga 23 minit, kerana operasi revokasi Google menyebar secara berperingkat di dalam infrastruktur, bukan secara serta-merta.

Penyelidik Aikido, Joseph Leon, menyatakan bahawa kestabilan keberhasilan permintaan semasa tempoh ini tidak menentu, tetapi pada beberapa masa, kejayaan masih boleh melebihi 90%. Penyerang boleh memanfaatkan jendela ini untuk terus mengeksport fail atau membaca data perbualan cache Gemini.

Leon juga menunjukkan bahawa sebahagian format kredensial baharu Google tidak mengalami masalah yang sama. Sebagai contoh, kredensial API akaun perkhidmatan boleh dicabut dalam tempoh kira-kira 5 saat, dan kunci AQ awalan terkini Gemini menjadi tidak sah dalam masa kira-kira 1 minit. Ini bermakna, jendela 23 minit untuk kunci lama tidak mungkin tidak dapat diselesaikan secara teknikal, tetapi lebih merupakan hasil pilihan keutamaan platform.

Maklumat tambahan: Artikel ini adalah kertas pandangan media asing; intinya bukan menolak cadangan keselamatan Google, tetapi menunjukkan bahawa sementara platform menganjurkan tindakan pencegahan awal oleh perusahaan, terdapat jurang dalam kelajuan respons produk, penagihan, dan pengurusan kunci sendiri.

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.