КИБЕРБЕЗОПАСНОСТЬ

2863 Google API-ключа дают доступ к Gemini

Исследователи нашли 3000 публичных API-ключей Google Cloud с доступом к Gemini AI. Злоумышленники могут украсть файлы и накрутить счета на тысячи долларов.

✍️ Редакция iTech News | 28.02.2026 | ⏱ 2 мин | 👁 2 | Источник: The Hacker News
👁

Исследователи Truffle Security нашли 2863 публичных API-ключа Google Cloud с доступом к ИИ-модели Gemini. Ключи встроены в код сайтов для Google Maps — но через них можно красть файлы и накручивать счета за использование ИИ на десятки тысяч долларов.

«С валидным ключом атакующий может получить доступ к загруженным файлам, кешированным данным и списать расходы на LLM с вашего аккаунта», — объяснил исследователь Джо Леон.

Как работает атака

Проблема возникает автоматически. Когда разработчик включает Gemini API в Google Cloud проекте, все существующие API-ключи этого проекта — включая те, что лежат в публичном JavaScript коде — молча получают доступ к Gemini.

Google не предупреждает об этом изменении. В результате ключи, которые годами использовались только для встраивания карт на сайты, вдруг становятся полноценными учётными данными для доступа к ИИ.

Злоумышленники могут сканировать сайты, собирать такие ключи и:

  • Получать доступ к приватным файлам через эндпоинты /files и /cachedContents
  • Делать запросы к Gemini API за чужой счёт
  • Накручивать огромные счета — один пользователь Reddit уже потерял $82 314 за два дня

Масштаб проблемы

Компания Quokka в параллельном исследовании нашла более 35 000 уникальных Google API-ключей в 250 000 Android-приложений. Все ключи начинаются с префикса «AIza» и легко обнаружимы автоматизированным сканированием.

Особенно уязвимы старые проекты. По умолчанию новые API-ключи в Google Cloud создаются с настройкой «Unrestricted» — они работают со всеми включёнными API в проекте, включая Gemini.

Что делать разработчикам

Google уже внедрил меры для обнаружения и блокировки скомпрометированных ключей, которые пытаются получить доступ к Gemini API. Но разработчикам нужно действовать самостоятельно.

Проверьте прямо сейчас:

  1. Зайдите в консоль Google Cloud → APIs & Services
  2. Найдите включённые AI-связанные API
  3. Если они есть и у вас публичные ключи — немедленно ротируйте их
  4. Начните со старых ключей — они наиболее уязвимы

Google пока не комментирует, использовалась ли эта уязвимость для реальных атак, но случай с потерей $82 000 показывает — ставки высоки.

API Gemini Google Cloud кибербезопасность утечка данных
Поделиться: Telegram X LinkedIn
📖 ЧИТАЙТЕ ТАКЖЕ
🕵
BITLOCKER 7 часов назад

Исследователь заявил об обходе BitLocker через WinRE в Windows

⏱ 4 мин
🚨
ORACLE PEOPLESOFT 7 часов назад

ShinyHunters взломала 100+ организаций через 0-day в Oracle PeopleSoft

⏱ 5 мин
🛡
MICROSOFT 17 часов назад

Новый PoC для Windows Defender обострил конфликт с Microsoft

⏱ 5 мин