AI: la sicurezza è una sfida in tempo reale, anche per Google.
Rod Danan, CEO della piattaforma di preparazione ai colloqui Prentus, ha dichiarato di aver ricevuto una fattura di $10,138 in circa 30 minuti dopo che i suoi attaccanti hanno sfruttato la sua chiave API compromessa. Isuru Fonseka, uno sviluppatore di Sydney, ha visto addebiti di circa AUD $17,000 nonostante credesse di avere un limite di spesa di $250. Entrambi non sapevano che i sistemi automatici di Google avevano aggiornato i loro livelli di fatturazione sulla base della cronologia dell’account, portando i loro limiti effettivi fino a $100,000 senza consenso esplicito.
Google ha rimborsato entrambi dopo che The Register ha pubblicato il suo rapporto iniziale, ma ha dichiarato di non avere intenzione di cambiare la sua politica di aggiornamento automatico dei livelli, sostenendo che la priorità è prevenire interruzioni del servizio piuttosto che rispettare le preferenze di budget degli utenti.
Un’ulteriore preoccupazione riguarda cosa accade quando uno sviluppatore tenta di disattivare tutto. Secondo uno studio della società di sicurezza Aikido, anche gli sviluppatori che rilevano una chiave compromessa e la eliminano immediatamente potrebbero non essere al sicuro. Aikido ha rivelato che gli attaccanti possono continuare a utilizzare quella chiave fino a 23 minuti, poiché la revoca di Google si propaga gradualmente attraverso la sua infrastruttura.
Joseph Leon, ricercatore di Aikido, ha dichiarato che durante tale finestra, i tassi di successo delle richieste rimangono imprevedibili – in alcuni minuti oltre il 90% delle richieste risulta ancora autenticato. Ciò consente agli attaccanti di esfiltrare file e dati di conversazione memorizzati da Gemini.
Leon ha inoltre osservato che i nuovi formati di credenziali di Google non presentano lo stesso problema: le credenziali delle API degli account di servizio si revocano in circa cinque secondi, e il nuovo formato di chiavi AQ di Gemini impiega circa un minuto. “Entrambi operano su scala Google,” ha scritto. “Entrambi suggeriscono che questo problema è tecnicamente risolvibile anche per le chiavi API di Google.” In breve, secondo Leon, la finestra di 23 minuti non è una questione di vincoli ingegneristici, ma di priorità per l’azienda.
Questo è un aspetto importante da considerare quando si esaminano i consigli di de Souza, che sono validi e meritano di essere presi sul serio. La sua visione è corretta, ma esiste attualmente un divario tra le piattaforme e la rapidità con cui si adattano. È bene tenere presente anche questo.
Acquistando tramite i link nei nostri articoli, potremmo guadagnare una piccola commissione, ma ciò non influisce sulla nostra indipendenza editoriale.
Non perderti tutte le notizie di tecnologia su Blog.it
About The Author
