Why were Google API keys historically considered safe to expose publicly?

Google designed many of its APIs — Maps, YouTube, Places — for client-side use, meaning keys were intentionally embedded in front-end code visible to anyone. The security model relied on usage restrictions like domain allowlists and referrer checks rather than key secrecy. For years, an exposed key was considered a configuration issue, not a critical vulnerability requiring immediate rotation.

What changed when Google introduced Gemini API keys?

Unlike legacy Google APIs, Gemini API keys function more like traditional secrets — exposing one can result in unauthorized charges to your billing account, model abuse, or quota exhaustion with no built-in domain restriction to save you. The shift means developers must now treat Gemini keys with the same discipline as AWS credentials or Stripe secret keys, storing them server-side and never in

How should developers securely manage API keys for AI services today?

Best practice is to store all AI API keys as environment variables on the server, never in version-controlled files or client bundles. Use a secrets manager, rotate keys regularly, and set spending limits at the provider level. Platforms like Mewayz — a 207-module business OS at $19/mo available at app.mewayz.com — handle API credential management within their infrastructure so teams aren't ma

What should I do if I have already accidentally exposed a Gemini API key?

Revoke the compromised key immediately through Google Cloud Console and generate a replacement before doing anything else. Audit your billing dashboard for unexpected usage spikes that could indicate the key was harvested. Then review your codebase, CI/CD environment variables, and any public repositories for other leaked credentials. Treat the incident as you would any exposed payment credential

Hacker News

لم تكن مفاتيح Google API أسرارًا، ولكن بعد ذلك قام Gemini بتغيير القواعد

تعرف على كيفية قيام Gemini بتغيير قواعد أمان مفتاح Google API. ما يحتاج المطورون إلى معرفته حول حماية مفاتيح واجهة برمجة التطبيقات (API) التي كانت تعتبر في السابق آمنة للكشف عنها.

March 2, 2026 3 دقيقة قراءة

Mewayz Team

Editorial Team

Hacker News

عندما يصبح "العامة حسب التصميم" مسؤولية أمنية

على مدار ما يقرب من عقدين من الزمن، تعلم المطورون الذين يعتمدون على نظام Google البيئي درسًا دقيقًا ولكنه مهم: مفاتيح Google API ليست أسرارًا حقًا. إذا قمت بتضمين مفتاح YouTube Data API في ملف JavaScript، فلن تشعر Google بالقلق. إذا ظهر مفتاح Maps API الخاص بك في مستودع GitHub العام، فإن الاستجابة الأمنية كانت في الأساس تجاهلًا وتذكيرًا لتعيين قيود النطاق. تم بناء النموذج بأكمله على افتراض أن هذه المفاتيح ستتواجد في تعليمات برمجية من جانب العميل، وستكون مكشوفة لأي شخص يفتح DevTools.

كانت هذه الفلسفة منطقية لفترة طويلة. قد يؤدي الكشف عن مفتاح Maps API دون قيود النطاق إلى دفع فاتورة مفاجئة، لكنه لن يعرض سجلات المرضى للخطر أو يستنزف الحساب المصرفي. كان نصف قطر الانفجار ماليًا ويمكن التحكم فيه. تم تصميم أدوات Google - قيود المُحيل، والقائمة البيضاء لعناوين IP، وحدود الحصص - لاحتواء الضرر، وليس منع التعرض تمامًا.

ثم وصل برج الجوزاء وتغيرت القواعد. المشكلة هي أن الملايين من المطورين لم يحصلوا على المذكرة.

النموذج العقلي القديم الذي يتسبب الآن في حرق المطورين

كانت تجربة مطوري Google القديمة متساهلة بشكل متعمد. عندما قمت بإنشاء مفتاح API لـ Maps JavaScript، شجعتك الوثائق عمليًا على إسقاطه مباشرة في HTML الخاص بك. لم يكن النموذج الأمني سريا، بل كان مقيدا. يمكنك قفل مفتاح نطاقك وتعيين تنبيهات الحصص والمضي قدمًا. وكان هذا بمثابة هندسة عملية: فالتطبيقات من جانب العميل لا يمكنها حقاً أن تحافظ على الأسرار عن المستخدمين العازمين، لذا قامت جوجل ببناء نظام يعترف بهذه الحقيقة.

أدى هذا إلى إنشاء جيل من المطورين - والأهم من ذلك، جيل من العادات المؤسسية - حيث احتلت مفاتيح Google API فئة ذهنية مختلفة عن، على سبيل المثال، المفتاح السري Stripe أو بيانات اعتماد الوصول إلى AWS. لن تقوم بلصق مفتاح Stripe السري الخاص بك في الريبو العام. لكن مفتاح الخرائط الخاص بك؟ لقد كانت تلك قيمة تكوين عمليًا، وليست سرًا. قامت العديد من الفرق بتخزينها في ملفات التكوين العامة، وملفات README، حتى في متغيرات البيئة من جانب العميل المسبوقة بـ NEXT_PUBLIC_ أو REACT_APP_ دون تفكير ثانٍ.

تعلم الباحثون الأمنيون الذين يقومون بمسح GitHub بحثًا عن بيانات الاعتماد المكشوفة كيفية التعامل مع مفاتيح Google API بشكل مختلف أيضًا. كان مفتاح الخرائط المسرب عبارة عن نتيجة منخفضة الخطورة. مفتاح الجوزاء المسرب هو محادثة مختلفة تمامًا.

ما الذي تغير مع الجوزاء - ولماذا يهم

💡 هل تعلم؟

Mewayz تحل محل 8+ أدوات أعمال في منصة واحدة

CRM · الفواتير · الموارد البشرية · المشاريع · الحجوزات · التجارة الإلكترونية · نقطة البيع · التحليلات. خطة مجانية للأبد متاحة.

ابدأ مجانًا →

لا تتبع واجهة برمجة تطبيقات Gemini من Google قواعد اللعبة القديمة. عند إنشاء مفتاح Gemini API من خلال Google AI Studio، فإنك تقوم بإنشاء بيانات اعتماد تحتوي على ملف تعريف مخاطر مختلف تمامًا عن مفتاح Maps أو YouTube. تعمل مفاتيح Gemini على مصادقة الوصول إلى استدلال نموذج اللغة الكبير - وهي خدمة تكلف موارد الحوسبة الحقيقية من Google وتقوم بتحصيل فواتيرك من خلال الرمز المميز، وليس من خلال مشاهدة الصفحة.

والأهم من ذلك، أن مفاتيح Gemini API لا تحتوي على نفس آليات تقييد النطاق المضمنة التي جعلت الكشف عن مفاتيح Google الأخرى قابلاً للنجاة. لا يوجد تحكم بسيط في "قفل هذا في نطاق موقع الويب الخاص بي" من شأنه أن يمنع المهاجم الذي عثر على مفتاحك في مستودع عام من تشغيل تطبيقه الخاص واستهلاك حصتك - أو حد الفوترة - من خادم في بلد آخر.

والخطر ليس ماليا فقط. يمكن استخدام مفتاح Gemini المكشوف لإنشاء محتوى ضار، أو تنفيذ هجمات حقن سريعة، أو إنشاء أدوات تنتهك شروط خدمة Google - ويتم تحميل كل ذلك على حسابك ويمكن إرجاعه إلى هويتك.

في عام 2024، حدد الباحثون الأمنيون الآلاف من مفاتيح Gemini API المكشوفة على GitHub وحده، والعديد منها في مستودعات استضافت سابقًا مفاتيح Google API الأخرى دون وقوع أي حادث. لم يكن المطورون متهورين بمعاييرهم التاريخية الخاصة، بل كانوا يطبقون نموذجًا عقليًا دربتهم جوجل نفسها على استخدامه. لقد تغيرت البيئة بشكل أسرع من العادات.

تشريح التعرض العرضي

إن فهم كيفية حدوث هذه التعرضات هو الخطوة الأولى نحو منعها.

...

Frequently Asked Questions

ما هو التغير الذي أحدثته Gemini في Approach Google API Keys؟

Gemini introduced stricter security measures that treat API keys as true secrets, unlike the previously permissive approach. While older Google APIs often ignored exposed keys in client-side code, Gemini enforces authentication and rate limiting, requiring developers to properly secure their keys to prevent unauthorized access and usage limits.

لماذا لم تكن مفاتيح Google API أسرارًا في السابق؟

لأكثر من عقدين، اعتمد Google على philosophy لكن المفاتيح لن تكون سرية حقًا. كان من الم acceptable تضمين مفاتيح API في JavaScript أو sharingها في المشاريع open-source. تم تصميم النظام على basis أن هذه المفاتيح سيتم عرضها للعميل، مما يجعلها مرئية في Tools Dev. لم تكن هناك Mechanism سريعة-security في place.

ما هي التحديات الأمنية التي Europea لأنها Gemini؟

Gemini's stricter approach creates challenges for developers accustomed to exposing API keys. Without proper key management, developers risk hitting rate limits, having their keys revoked, or incurring unexpected charges. This shift requires implementing proper key storage, using environment variables, and adopting frameworks like Mewayz that provide built-in security features for managing API credentials.

كيف يمكنني حماية مفاتيح Gemm API الخاص بي؟

must نحتاج إلى تخزين مفاتيح Gemm API في server-side environment variables أو خدمات مثل Mewayz التي توفر إدارة آمنة للمصادقات. يجب avoid تضمين المفاتيح مباشرة في client-side code أو مستودعات GitHub العامة. استخدِم خدمات مثل Google Cloud Secret Manager أو Platform مثل Mewayz (208 modules، $49/month) which توفر تدابير أمنية متقدمة لإدارة المفاتيح.

جرب Mewayz مجانًا

منصة شاملة لإدارة العلاقات والعملاء، والفواتير، والمشاريع، والموارد البشرية، والمزيد. لا حاجة لبطاقة ائتمان.

ابدأ مجانًا جرب التجربة

ابدأ في إدارة عملك بشكل أكثر ذكاءً اليوم.

انضم إلى 30,000+ شركة. خطة مجانية للأبد · لا حاجة لبطاقة ائتمان.

ابدأ مجانًا → شاهد العرض التوضيحي

وجدت هذا مفيدا؟ أنشرها.

X / Twitter LinkedIn Facebook WhatsApp

هل أنت مستعد لوضع هذا موضع التنفيذ؟

انضم إلى 30,000+ شركة تستخدم ميويز. خطة مجانية دائمًا — لا حاجة لبطاقة ائتمان.

ابدأ التجربة المجانية →

ابدأ تجربة Mewayz المجانية اليوم

منصة أعمال شاملة. لا حاجة لبطاقة ائتمان.

ابدأ مجانًا →

تجربة مجانية 14 يومًا · لا توجد بطاقة ائتمان · إلغاء في أي وقت

لم تكن مفاتيح Google API أسرارًا، ولكن بعد ذلك قام Gemini بتغيير القواعد

Frequently Asked Questions

ما هو التغير الذي أحدثته Gemini في Approach Google API Keys؟

لماذا لم تكن مفاتيح Google API أسرارًا في السابق؟

ما هي التحديات الأمنية التي Europea لأنها Gemini؟

كيف يمكنني حماية مفاتيح Gemm API الخاص بي؟

جرب Mewayz مجانًا

ابدأ في إدارة عملك بشكل أكثر ذكاءً اليوم.

هل أنت مستعد لوضع هذا موضع التنفيذ؟

مقالات ذات صلة

ابدأ تجربة Mewayz المجانية اليوم

جرب Mewayz — مباشر

انتظر - لا تترك خالي الوفاض!

تحقق من البريد الوارد الخاص بك!

لم تكن مفاتيح Google API أسرارًا، ولكن بعد ذلك قام Gemini بتغيير القواعد

Related Posts

Frequently Asked Questions

ما هو التغير الذي أحدثته Gemini في Approach Google API Keys؟

لماذا لم تكن مفاتيح Google API أسرارًا في السابق؟

ما هي التحديات الأمنية التي Europea لأنها Gemini؟

كيف يمكنني حماية مفاتيح Gemm API الخاص بي؟

جرب Mewayz مجانًا

ابدأ في إدارة عملك بشكل أكثر ذكاءً اليوم.

هل أنت مستعد لوضع هذا موضع التنفيذ؟

مقالات ذات صلة

ابدأ تجربة Mewayz المجانية اليوم

تغيير اللغة

اتصل بنا

انتظر - لا تترك خالي الوفاض!

تحقق من البريد الوارد الخاص بك!