Pesquisadores da área de cibersegurança identificaram uma vulnerabilidade crítica relacionada às chaves de API do Google, que podem permitir acesso não autorizado ao assistente de IA Gemini e a dados privados.
Essas chaves, usadas em serviços como Google Maps, estavam expostas em códigos client-side de acesso público, facilitando autenticações indevidas.
O problema surgiu com o lançamento do Gemini, quando desenvolvedores começaram a ativar a API do modelo de linguagem (LLM API) em seus projetos.
Antes disso, as chaves da Google Cloud API não eram consideradas sensíveis e podiam ficar expostas sem grandes riscos.
Porém, com o Gemini, essas chaves passaram a funcionar também como credenciais de autenticação para o assistente de IA.
Durante uma varredura em páginas da internet, abrangendo organizações de diversos setores, inclusive o próprio Google, os especialistas da TruffleSecurity encontraram quase 3.000 chaves expostas.
Entre elas, havia API keys vinculadas a instituições financeiras, empresas de segurança cibernética e consultorias de recrutamento.
Em um dos casos, uma chave usada apenas como identificador estava embutida na página pública de um produto do Google desde fevereiro de 2023.
A TruffleSecurity utilizou uma dessas chaves para acessar o endpoint /models da API Gemini, confirmando que era possível listar modelos disponíveis e usar o serviço de forma indevida.
Essa situação expõe as vítimas a cobranças que podem chegar a milhares de dólares por dia, já que o uso da API Gemini não é gratuito e invasores podem abusar do serviço.
Os pesquisadores alertam que essas chaves ficaram expostas em códigos JavaScript públicos por anos e, sem que ninguém percebesse, passaram a contar com permissões perigosas.
A equipe informou o problema ao Google em novembro de 2025 e, após longo diálogo, a empresa classificou a falha como “elevação de privilégio em serviço único” em janeiro de 2026.
Em resposta, o Google confirmou estar ciente do problema e que colaborou com os pesquisadores para solucioná-lo.
A empresa já implementou mecanismos proativos para detectar e bloquear chaves vazadas que tentam acessar a API Gemini.
Além disso, novas chaves geradas pelo AI Studio terão escopo restrito ao Gemini, e notificações serão enviadas quando vazamentos forem detectados.
Especialistas recomendam que desenvolvedores verifiquem se o Gemini (Generative Language API) está habilitado em seus projetos e façam uma auditoria completa das suas chaves de API, realizando a rotação imediata das que estiverem expostas publicamente.
A adoção da ferramenta open-source TruffleHog também é recomendada para detectar chaves ativas e expostas em códigos e repositórios.
Essa descoberta reforça a importância de revisar práticas de segurança, especialmente com a crescente integração de APIs em projetos envolvendo inteligência artificial.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...