ثغرة في مفاتيح البرمجيات تكبد مطوراً 54 ألف يورو خلال ساعات

واجه مطور برمجيات صدمة مالية عنيفة بعدما سجل مشروعه على منصة “فايربيز” (Firebase) استهلاكاً مفاجئاً لخدمات الذكاء الاصطناعي Gemini، انتهى بفاتورة تجاوزت 54 ألف يورو خلال 13 ساعة فقط. الواقعة بدأت فور تفعيل خاصية (AI Logic) في مشروع قديم كان مخصصاً لعمليات التحقق من الهوية، ليتحول فجأة إلى هدف لهجوم آلي استنزف الموارد المالية للمشروع.

تعتمد بنية تطبيقات الويب وتطبيقات الهواتف الذكية تاريخياً على تضمين مفاتيح واجهة برمجة التطبيقات (API Keys) داخل الكود البرمجي للمتصفح، وهي ممارسة كانت تعتبر آمنة في خدمات مثل خرائط جوجل، حيث تقتصر الصلاحيات على عرض البيانات. إلا أن ربط هذه المفاتيح بمحركات الذكاء الاصطناعي مثل Gemini غير قواعد اللعبة؛ إذ أصبحت هذه المفاتيح تمنح وصولاً مباشراً لخدمات عالية التكلفة، مما يجعل تسريبها أو كشطها من المتصفح بمثابة تفويض مفتوح للإنفاق.

ورغم وجود أنظمة تنبيه للميزانية، إلا أن المطور أكد أن تنبيهات تجاوز الحد (80 يورو) وصلت متأخرة بعدة ساعات. وبحلول الوقت الذي تم فيه رصد النشاط غير الطبيعي وإيقاف الخدمة، كانت التكاليف قد قفزت من 28 ألف يورو إلى أكثر من 54 ألف يورو نتيجة تأخر معالجة بيانات الفوترة في الوقت الفعلي.

من جانبها، رفضت إدارة دعم جوجل كلاود طلب التسوية المالية، معتبرة أن الاستهلاك يمثل “استخداماً صحيحاً” للخدمة كونه صدر من مشروع مفعل وصحيح تقنياً. ويفرض هذا الموقف تحديات جديدة على المطورين، حيث تتطلب سياسات الأمان الحالية نقل كافة استدعاءات الذكاء الاصطناعي إلى جانب الخادم (Server-side) بدلاً من المتصفح، لضمان عدم تعرض مفاتيح الربط للاستغلال الآلي الذي قد يدمر ميزانيات الشركات في غضون دقائق.