Те, що роками вважалося безпечним цифровим ідентифікатором, раптово стало ключем до приватних даних та дорогих обчислювальних ресурсів. Інтеграція Gemini у хмарну інфраструктуру Google створила неочікувану вразливість, через яку тисячі компаній опинилися під загрозою зламу та непередбачуваних фінансових витрат.
Дослідники з Truffle Security виявили, що API-ключі, які раніше використовувалися для “нешкідливих” сервісів – таких як карти, вбудовані відео YouTube чи аналітика – тепер автоматично дають доступ до потужного ШІ. Проблема в тому, що розробники часто залишали ці ключі прямо в публічному JavaScript-коді, оскільки вони не вважалися критичними секретами. Проте після запуску Gemini ці ж самі маркери стали повноцінними обліковими даними для Generative Language API. Масштаб проблеми вражає: лише в листопаді 2025 року було зафіксовано понад 2800 дійсних ключів у відкритому доступі, включаючи ресурси великих банків, охоронних фірм і навіть самого Google.
Ризик не лише в доступі до інформації. Оскільки використання Gemini API є платним, будь-який зловмисник може скопіювати ключ зі сторінки сайту та здійснювати запити за рахунок власника акаунта. Це створює ситуацію, де компанії отримують величезні рахунки через привілеї, які вони навіть не активували свідомо. У Google офіційно визнали інцидент “ескалацією привілеїв у межах одного сервісу”. У коментарі для видання BleepingComputer представник техгіганта зазначив:
“Компанія впровадила превентивні механізми для виявлення і блокування скомпрометованих API-ключів, які намагаються отримати доступ до Gemini.”
Наразі корпорація впроваджує кілька рівнів захисту, щоб мінімізувати наслідки системної помилки:
- Ключі, створені в AI Studio, відтепер за замовчуванням обмежені лише роботою з Gemini.
- Системи моніторингу автоматично блокують доступ до ШІ для будь-яких ключів, що мають ознаки витоку.
- Власники акаунтів почали отримувати проактивні сповіщення про необхідність перевірки безпеки.
Для ІТ-команд та DevOps-фахівців цей інцидент став сигналом до негайних дій. Експерти наголошують, що навіть ті ключі, які роками працювали стабільно, тепер потребують перевірки. Рекомендується виконати наступні кроки:
- Терміново перевірити, чи увімкнено Generative Language API у ваших проєктах Google Cloud.
- Провести повний аудит усіх ключів, що використовуються у клієнтському коді.
- Провести ротацію будь-яких публічно доступних секретів та налаштувати обмеження за доменами.
Ця ситуація демонструє новий тип технологічного ризику. Коли великі платформи змінюють внутрішню модель дозволів, навіть перевірені часом методи розробки можуть миттєво стати вразливими. Використання інструментів на кшталт TruffleHog для пошуку відкритих секретів тепер стає не просто рекомендацією, а необхідною гігієною для сучасного бізнесу.
Залишити коментар