亚博体育 谷歌API密钥安全缝隙曝光：前端泄漏密钥可径直探询Gemini并窃取秘密数据

安全连络东说念主员最新发现，镶嵌在可探询前端代码中、用于舆图等劳动的谷歌 API 密钥，可被用于向 Gemini AI 助手进行身份认证，并探询巧妙数据。连络东说念主员在扫描来自多个行业机构（以致包括谷歌本人）的公开网页时，发现了近 3000 个此类密钥。 

该问题源于谷歌推出 Gemini 助手、建设者启动在样貌中启用大说话模子 API 之后。在此之前，谷歌云 API 密钥不被视为敏锐数据，即使公开泄漏也多数以为无安全风险。

建设者经常使用 API 密钥为样貌膨大功能，举例在网站中加载舆图、镶嵌 YouTube 视频、使用统计劳动或 Firebase 干系功能。而跟着 Gemini 的推出，谷歌云 API 密钥同期具备了谷歌 AI 助手的身份证实权限。

连络东说念主员示意：膺惩者可从网页源代码中复制 API 密钥，通过 Gemini API 劳动探询巧妙数据。

由于 Gemini API 并非免费使用，膺惩者还可奢华该权限调用接口，为本人谋利。根据模子与高下文窗口不同，坏心膺惩者若将 API 调用量刷满，亚博app单个受害者账户每天可能产生数千好意思元的用度。这些 API 密钥已在公开 JavaScript 代码中泄漏多年，如今却在无东说念主察觉的情况下一忽儿得到了更高危的权限。

连络东说念主员对 2025 年 11 月的 Common Crawl 数据集进行分析，在代码中发现向上 2800 个正在使用、且公开泄漏的谷歌 API 密钥。

连络东说念主员称，其中部分密钥被大型金融机构、安全公司和招聘公司使用。他们已向谷歌通知该问题，并提供了来自谷歌本人基础规律的干系样本。 

{jz:field.toptypename/}

其中一个案例炫耀，某枚仅用作标记符的 API 密钥至少从 2023 年 2 月起就已部署，并镶嵌在谷歌某居品的公开网站页面源代码中。

Google 的泄漏密钥

安全连络东说念主员使用该密钥调用 Gemini API 的 /models 接口，到手列出了可用模子。并于 2025 年 11 月 21 日向谷歌通报该问题。流程多轮调换，谷歌在 2026 年 1 月 13 日将该缝隙归类为"单劳动权限训导"。

谷歌示意，现在已履行主动检测机制，禁绝试图探询 Gemini API 的暴露 API 密钥。文牍将继承以下措施：

- 新的 AI Studio 密钥默许仅绽放 Gemini 权限范围

- 暴露的 API 密钥将被谢却探询 Gemini

- 检测到密钥暴露时将主动发送奉告

谷歌提议建设者搜检样貌中是否启用了 Gemini（生成式说话 API），审计环境中总计 API 密钥是否存在公开泄漏，独立即瓜代存在风险的密钥。

• 亚博体育
• 安全
• 谷歌
• 密钥
• API