Chaves de API da Google para serviços como o Maps, embutidas em códigos do lado do cliente, podem ser exploradas para autenticação na IA Gemini na obtenção de dados privados. A descoberta, feita pelos pesquisadores de segurança da TruffleSecurity, veio com o achado de 3.000 chaves do tipo em um monitoramento de páginas da internet de diversas organizações.
O problema se originou na introdução do Gemini como assistente, quando desenvolvedores passaram a permitir a API do modelo de linguagem em seus projetos. Antes disso, chaves de API do Google Cloud não eram consideradas dados sensíveis, e podiam ser expostas online sem risco.
Perigos das chaves de API
As chaves de API são usadas para estender funcionalidades em um projeto, como carregar o Google Maps em um site ou embutir vídeos do YouTube. Quando o Gemini chegou, as chaves de API da Google Cloud também serviam como credenciais de autenticação para o assistente de IA da empresa. A depender do modelo e contexto, é possível gerar milhares de dólares em dívidas ao usuário por dia.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Embora antes a exposição das chaves no JavaScript não importasse, de um dia para o outro isso ganhou importância de maneira quase despercebida. Em um levantamento de novembro de 2025, a empresa descobriu mais de 2.800 chaves de API da Google expostas em sites populares.
O problema foi reportado à Google, ainda no ano passado, levando a empresa a considerar a falha como “escalada de privilégios de serviço único” no último dia 13 de janeiro.
O Google divulgou um comunicado relatando estar ciente do problema e estar trabalhando com especialistas para resolver o caso. O plano é detectar e bloquear chaves de API vazadas e tornar padrão que chaves do novo AI Studio sejam exclusivas ao Gemini.
Aos desenvolvedores, é recomendado checar se a API de linguagem generativa da LLM está ligada e fazer auditoria em todas as chaves do ambiente.
Confira também:
- Ironia pura: Meta processa golpistas após faturar com anúncios falsos
- Como proteger sua TV Box ou Smart TV de ataques hacker
- Hackers usam plataforma ilegal para exibir anúncios maliciosos no Google
Leia a matéria no Canaltech.
