بقلم: سارة | محررة نماذج الذكاء الاصطناعي · صوت تحريري بإشراف بشري
المطورون الذين اعتمدوا على قاعدة أساسية من Google لأكثر من عقد – أن مفاتيح API ليست أسراراً – يواجهون الآن واقعاً مختلفاً تماماً. فاتورة بقيمة 54,000 يورو وصلت لأحد المطورين خلال 13 ساعة فقط (وفقاً لمنتدى Google للمطورين)، بعد استغلال مفتاح Firebase غير المحمي للوصول المكثف لواجهات Gemini البرمجية.
التحوّل ليس تقنياً بحتاً، بل يمثل انقلاباً في فلسفة Google الأمنية. لسنوات، شجعت الشركة المطورين على تضمين مفاتيح API في كود المتصفح العلني، مؤكدة أنها “ليست أسراراً” لخدمات مثل Maps وFirebase. هذا النهج نجح لأن التكلفة المحتملة للإساءة كانت محدودة – حتى لو سحب شخص المفتاح واستخدمه بكثافة، الضرر المالي كان مقبولاً.
نماذج Gemini قلبت هذه المعادلة رأساً على عقب. Truffle Security تؤكد أن التسعير العدواني للذكاء الاصطناعي حوّل مفاتيح API من أدوات آمنة نسبياً إلى قنابل مالية محتملة. المشكلة تفاقمت لأن Google لم تقدم إشعاراً واضحاً بهذا التغيير الجوهري في طبيعة المخاطر.
الحادثة تكشف أيضاً قصوراً في آليات الحماية المالية. مفتاح واحد غير محمي تمكّن من توليد فاتورة تزيد عن 50 ألف يورو خلال نصف يوم، دون تدخل تلقائي من نظم Google لوقف النزيف المالي. حدود الإنفاق الافتراضية والتنبيهات الفورية – التي تعتبر معايير أساسية في الخدمات السحابية المالية الحساسة – كانت غائبة أو غير فعّالة.
الضرر يتجاوز الخسارة المالية المباشرة. آلاف التطبيقات المبنية على افتراض أن مفاتيح Google API آمنة للكشف تحتاج الآن إعادة هيكلة جذرية. المطورون العرب، الذين غالباً ما يعملون بميزانيات محدودة، يجدون أنفسهم أمام تكاليف تطوير إضافية لم تكن في الحسبان – خوادم وسيطة، متغيرات بيئة، وبنية أمنية أكثر تعقيداً.
Google تتحمل مسؤولية أخلاقية هنا. تقديم خدمات عالية التكلفة عبر نفس البنية التحتية للAPI، دون تحديث واضح للإرشادات الأمنية أو إضافة حماية مالية تلقائية، يضع عبئاً غير عادل على المطورين. الشركة استفادت من ثقة المطورين المبنية على عقد من الممارسات الآمنة، ثم غيّرت القواعد بصمت.
الحل الفوري واضح ولكنه مؤلم: معاملة جميع مفاتيح Google API كأسرار حساسة، خاصة تلك القادرة على الوصول لخدمات الذكاء الاصطناعي. لكن موجز تعتقد أن المسؤولية الأكبر تقع على Google لتوفير آليات حماية أفضل وإرشادات أوضح، ليس فقط لمنع الخسائر المالية، بل للحفاظ على الثقة التي بُنيت عليها منصة المطورين لسنوات طويلة.
