Google API静默升级致Gemini私数泄露,数千企业如何防范?
随着Gemini API正式上线,原本仅用于计费的谷歌云公开API密钥被悄然赋予了访问AI项目数据的权限。Truffle Security公司发现2863个暴露密钥可被截获,用于窃取数据或恶意消耗Token制造高额账单,波及金融机构及谷歌自身。
Truffle Security研究人员近日发现,谷歌云API密钥通常被用作地图或YouTube等API的简单计费标识符,但这些密钥可从公开渠道获取,从而可访问私有的Gemini AI项目数据。
该公司披露,根据其11月对公共网络进行的扫描结果,有2863个仍在使用的谷歌API密钥使相关组织面临风险,其中包括“大型金融机构、安全公司、全球招聘公司,值得注意的是,还有谷歌自身”。
这一安全隐患源于谷歌云平台API密钥状态的静默变更,而谷歌公司并未将这一变更告知开发者。
十余年来,谷歌的开发者文档始终将这些以“Aiza”为前缀的密钥描述为用于识别项目以进行计费的机制。开发者生成密钥后,将其完整嵌入客户端HTML代码中公开展示。
然而,随着2024年末Gemini API的推出,这些密钥似乎也开始充当嵌入Gemini AI助手的身份验证密钥。
未获预警
开发者可能使用原始的公共GCP API密钥构建具有基础功能的应用,例如嵌入地图功能,该功能的使用情况会通过此密钥进行计量。当他们后续在同一项目中添加Gemini功能时,同一密钥实际上就验证了对所有者通过Gemini API存储的任何内容的访问权限,包括数据集、文档和缓存内容。由于这是AI,提取数据就像提示Gemini透露数据一样简单。
Truffle Security表示,同样的访问权限也可能被利用来通过API消耗令牌,这可能给所有者带来巨额账单或耗尽他们的配额,攻击者只需查看应用源代码并提取密钥即可。
研究人员指出:“你的公共地图密钥现在成了Gemini身份凭证,任何截获该密钥的人都可以访问你上传的文件、缓存内容,并增加你的AI账单,却没有人告诉过你。”
API密钥的利用并非只是假设,据披露,去年6月,一名学生在GitHub上泄露了一个GCP API密钥,该密钥被他人提取并重复使用后,该学生背负了55444美元的账单(后被谷歌免除)。
Truffle Security表示,其已于11月向谷歌披露了密钥问题,谷歌最终承认该问题是真正的漏洞。在被告知有2863个密钥被泄露后,谷歌限制了这些密钥访问Gemini API的权限。
2月19日,90天的漏洞披露窗口期结束,谷歌显然仍在努力进行更全面的修复。
Truffle Security公司表示:“最初的分类令人沮丧,报告被驳回,称是‘预期行为’,但在提供了来自谷歌自身基础设施的确凿证据后,GCP漏洞披露计划团队认真对待了这一问题,以谷歌的规模构建软件极其困难,而且Gemini API继承了为不同时代构建的密钥管理架构。”
缓解措施
相关管理员的首要任务是在GCP控制台中检查专门允许生成式语言API的密钥,此外,还要查找不受限制的密钥,这些密钥现在会显示黄色警告图标,检查这些密钥中是否有公开的。
所有暴露的密钥都应进行轮换或“重新生成”,并设置一个宽限期,以考虑此操作对缓存了旧密钥的下游应用程序的影响。
这一漏洞凸显了云演进过程中的小疏忽可能带来更广泛、不可预见的后果。Truffle Security指出,谷歌现在在其路线图中表示,正在采取措施解决API密钥问题:通过AI Studio创建的API密钥将默认仅限Gemini访问,谷歌还将阻止泄露的密钥,并在检测到此类情况时通知客户。
Truffle Security承认:“我们希望谷歌能更进一步,对现有受影响的密钥进行追溯审计,并通知可能在不知情情况下暴露的项目所有者,但说实话,这是一项艰巨的任务。”
相关攻略
Gemini优化的核心在于深度对接Google生态,需通过结构化数据与E-E-A-T信号提升索引权威度,并依赖GoogleNews的全球权威媒体资源。同时要求跨语言的精准语义与文化适配,且需持续维护海外信源。市场服务商虽多,但真正具备这些综合技术与资源能力的极少,选择时需重点考察其生态对接、媒体资源、跨语言能力及全。
科技圈传来一则重磅消息。根据AppleInsider的报道,在近日的谷歌Cloud Next 26大会主题演讲中,谷歌云首席执行官托马斯·库里安亲自确认,那个备受期待的、基于谷歌Gemini技术构建的新一代苹果Siri,其正式亮相的时间点定在了2026年。 这并非空xue来风。库里安在演讲中透露,谷
谷歌推出GeminiIntelligence高级AI功能套件,实现跨应用多步骤任务自动化,用户可通过快捷指令完成出行、购物等复杂流程。该功能要求设备至少配备12GB内存和旗舰芯片,以保障流畅运行与隐私安全。目前仅适配三星、谷歌等高端机型,可能加剧安卓阵营分化,推动行业向系统级智能协同演进。
Google推出无屏幕轻量健身追踪器FitbitAir,并发布整合GeminiAI的新版GoogleHealth应用。该应用可提供健康数据摘要与AI教练服务。结合Google计划年内推出的智能眼镜产品线,其有望将Fitbit的健身数据与AI洞察无缝延伸至眼镜端,从而在健康领域构建差异化优势。
谷歌下一代AI助手GeminiIntelligence对硬件要求严苛,需旗舰处理器、至少12GB内存并内置AICore以运行GeminiNanov3模型。同时设备需承诺5次安卓大版本升级和6年安全更新。目前仅少数预计2026年发布的机型符合条件,如谷歌Pixel10系列和三星GalaxyS26等旗舰型号,使其成为明年高端设备的专属功能。
热门专题
热门推荐
《Zero Parades: For Dead Spies》的媒体评测已经解禁,结果相当亮眼。这款被许多人视为《极乐迪斯科》精神续作的作品,在OpenCritic上拿到了86分的媒体均分,在Metacritic上也有83分。游戏将于5月21日正式登陆PC平台,看来2026年的必玩叙事RPG名单上,又
目录 你是否也遇到过这些问题 处理效果 前置准备 超简单AI自动化解决方案 第1步:准备好你的原始数据 第2步:针对指定的文件下达指令 第3步:验收 还能解决这些同类问题 指令为什么这么有用? 更多场景直接抄作业 销售数据三级汇总 成本数据多级汇总 库存数据汇总 员工薪资汇总 常见问题答疑 核心价值
AI Agent 的发展,正迎来一个关键的转折点,从概念验证迈向真正的生产力交付。 想象一下,当一个 AI 智能体能够在无需人工介入的情况下,独立完成一个复杂项目的全流程,并将成功经验固化为可随时调用的“技能”——这是否标志着 AI 在职场中的角色,已经从辅助工具演变为自主的生产力单元? 随着 Op
彭博社的马克・古尔曼在最新报道中透露了一个有趣的发现:苹果为WWDC 26发布的宣传海报,其设计细节可能暗藏玄机,指向了即将在iOS 27中亮相的全新Siri交互界面。 根据古尔曼的分析,新版Siri的核心变化在于与灵动岛的深度融合。唤醒时,它将不再以传统的全屏或底部卡片形式出现,而是会以一个扩展的
GitHub 的 Star 数量还值得信赖吗?真相可能比你想象的更严峻。 开源社区中“购买 Star”的现象早已不是秘密,其便捷程度甚至超过点外卖,单价低廉且支持批量折扣。然而,卡内基梅隆大学(CMU)一项被 ICSE 2026 顶会收录的最新研究,首次系统性地揭示了这场“造假生意”的惊人规模:Gi