安全说合东谈主员最新发现,镶嵌在可打听前端代码中、用于舆图等工作的谷歌 API 密钥,可被用于向 Gemini AI 助手进行身份认证,并打听奥秘数据。说合东谈主员在扫描来自多个行业机构(致使包括谷歌本身)的公开网页时,发现了近 3000 个此类密钥。
该问题源于谷歌推出 Gemini 助手、缔造者初始在姿色中启用大言语模子 API 之后。在此之前,谷歌云 API 密钥不被视为明锐数据,即使公开披露也大批觉得无安全风险。
缔造者时时使用 API 密钥为姿色膨大功能,举例在网站中加载舆图、镶嵌 YouTube 视频、使用统计工作或 Firebase 关联功能。而跟着 Gemini 的推出,谷歌云 API 密钥同期具备了谷歌 AI 助手的身份根据权限。
说合东谈主员默示:挫折者可从网页源代码中复制 API 密钥,StarSports通过 Gemini API 工作打听奥秘数据。
由于 Gemini API 并非免费使用,挫折者还可阔绰该权限调用接口,为本身营利。根据模子与迂回文窗口不同,坏心挫折者若将 API 调用量刷满,开云体育单个受害者账户每天可能产生数千好意思元的用度。这些 API 密钥已在公开 JavaScript 代码中披露多年,如今却在无东谈主察觉的情况下瞬息获取了更高危的权限。
说合东谈主员对 2025 年 11 月的 Common Crawl 数据集进行分析,在代码中发现跳动 2800 个正在使用、且公开披露的谷歌 API 密钥。
说合东谈主员称,其中部分密钥被大型金融机构、安全公司和招聘公司使用。他们已向谷歌发达该问题,并提供了来自谷歌本身基础要害的关联样本。
其中一个案例自满,某枚仅用作标记符的 API 密钥至少从 2023 年 2 月起就已部署,并镶嵌在谷歌某居品的公开网站页面源代码中。
Google 的披露密钥
安全说合东谈主员使用该密钥调用 Gemini API 的 /models 接口,得胜列出了可用模子。并于 2025 年 11 月 21 日向谷歌通报该问题。经由多轮疏导,谷歌在 2026 年 1 月 13 日将该误差归类为"单工作权限提高"。
谷歌默示,现在已持行主动检测机制,遏止试图打听 Gemini API 的露馅 API 密钥。文牍将遴荐以下法子:
- 新的 AI Studio 密钥默许仅怒放 Gemini 权限范围
- 露馅的 API 密钥将被不容打听 Gemini
- 检测到密钥露馅时将主动发送奉告
谷歌冷漠缔造者查验姿色中是否启用了 Gemini(生成式言语 API),审计环境中统共 API 密钥是否存在公开披露,独立即瓜代存在风险的密钥。
备案号: