AIPress.com.cn报道

3月2日消息，TruffleSecurity研究人员披露了一项安全研究，指出 Google Cloud API 密钥——谷歌多年来明确告知开发者可以安全嵌入公共代码的凭证——如今可以在无提示的情况下与 Gemini API 进行身份验证，从而让任何发现这些密钥的人访问上传文件、缓存数据以及计费的 AI 资源。

该问题于 2026 年 2 月 26 日公开，此前经历了 90 天的协调披露流程。谷歌最初驳回报告，随后承认问题并开始修复。

这一发现迅速引发关注。安全研究员 John Hammond（YouTube 订阅者 212 万）在披露当天发布视频，72 小时内观看量超过 8.2 万次。

核心信息是：曾被官方文档标注为“可安全共享”的 API 密钥，在规则改变后不再安全，而几乎没有人意识到这一变化。问题并非开发者误用，而是权限模型在未通知的情况下发生了变化。

谷歌官方文档长期指导开发者创建 API 密钥并直接嵌入网页 HTML。

例如 Maps JavaScript API 示例将密钥放在从 maps.googleapis.com 加载的 <script> 标签中，任何人都可以在浏览器源码中看到。

虽然文档提醒在生产环境中“限制 API 密钥”，但通过 Google Cloud 控制台创建的默认密钥通常为“无限制”，对项目中所有已启用 API 有效。

Firebase 安全清单（2026 年 2 月 26 日更新）仍写道：“Firebase 服务的 API 密钥并非秘密……可以安全地嵌入客户端代码中。”在旧架构下，这一说法成立，因为 API 密钥主要作为计费项目标识符，而非真正的访问凭证。

转折发生在启用 Gemini（生成语言 API）之后。

根据 TruffleSecurity 的说法，当开发者在 Google Cloud 项目中启用 Gemini API 时，项目中所有既有 API 密钥都会自动获得对 Gemini 端点的认证能力。密钥字符串本身不变（以 “AIza” 开头），变化的是后台权限验证逻辑。

TruffleSecurity 指出两个关键问题：

第一，追溯性权限扩展。几年前为地图嵌入创建、并公开部署的密钥，只要项目后来启用了 Gemini，就会自动成为 Gemini 凭证。

第二，不安全的默认值。新创建的 API 密钥默认“无限制”，对项目中所有已启用 API 有效，包括 Gemini。

攻击者只需打开网站源码，复制公开的 AIza 密钥，然后向 Gemini API 的 /files 或 /models 端点发送请求。如果返回 200 OK，而非 403 Forbidden，就说明认证成功。攻击者随后可以读取文件、耗尽配额或产生高额推理费用。

TruffleSecurity 表示，在高上下文窗口模型下，单日费用可能达到数千美元。

有 Reddit 用户称 48 小时内因密钥被盗产生 82,000 美元费用。攻击者无需入侵服务器，密钥本身就在网页中。

该漏洞对应两个安全弱点类别：CWE-1188（不安全的默认初始化）和 CWE-269（权限分配错误）。此外，社区还指出，API 密钥的“站点限制”可通过伪造 HTTP Referer 头绕过——这一问题据称在 2024 年已报告但未修复。

为评估影响范围，TruffleSecurity 扫描了 2025 年 11 月的 Common Crawl 数据集（约 700 TB、22.9 亿页），识别出 2863 个实时 Google API 密钥，均可能通过此权限路径访问 Gemini。

受影响对象包括金融机构、安全公司、全球招聘平台，甚至谷歌自身。研究人员通过测试谷歌产品网站嵌入的 API 密钥，成功调用 Gemini /models 端点并获得 200 OK 响应。一个部署数年的公开项目标识符，悄然获得了敏感 AI 端点访问能力。

移动端风险更大。移动安全公司 Quokka 扫描 25 万个应用后发现，39.5% 包含硬编码 Google API 密钥，共计超过 3.5 万个独立密钥。Android 应用可被反编译，提取密钥仅需正则匹配。

TruffleSecurity 于 2025 年 11 月 21 日提交报告。11 月 25 日谷歌以“有意为之”为由驳回。研究人员在提供谷歌自身受影响示例后，问题于 12 月 2 日被重新分类为漏洞。谷歌请求完整的 2863 个密钥清单，并于 12 月 12 日公布修复计划。

2026 年 1 月 13 日，漏洞被定级为“单一服务权限升级（READ）——一级”。2 月 19 日 90 天披露期结束，2 月 25–26 日公开披露。

该问题尤其影响深度集成 Google 服务的营销与广告技术团队。使用 Maps、Firebase、YouTube API 的项目若后来启用了 Gemini API，则原本公开嵌入的密钥可能已具备 Gemini 访问权限。

谷歌此前在 2025 年 9 月面临 4.257 亿美元隐私判决，案件涉及 Firebase SDK 数据收集问题。根据庭审证词，Firebase SDK 部署于前 1000 个 Android 应用中的 97%。而这些生态与 Gemini API 密钥架构交织在一起。

Alphabet 报告显示，截至 2026 年 2 月，Gemini 每分钟处理超过 100 亿令牌，Gemini 应用月活用户达 7.5 亿。随着 AI 能力叠加在既有平台之上，遗留密钥架构开始承载超出原设计范围的权限。

Quokka 指出：“在一种平台能力下安全的密钥，在另一种能力下变得敏感。

对此，谷歌承诺通过 AI Studio 创建的新密钥默认仅限 Gemini 范围，阻止已识别泄露密钥访问 Gemini API，并向向开发者发送主动通知。

不过，Firebase 安全清单仍称 API 密钥“非秘密”，Maps API 文档未提及 Gemini 访问风险。导致问题的文档逻辑基本未变。

时间线简述

• 2023 年 2 月：谷歌产品页面嵌入 API 密钥

• 2025 年 11 月：TruffleSecurity 识别 2863 个暴露密钥

• 2025 年 11 月 25 日：谷歌初步驳回

• 2025 年 12 月 2 日：重新定级为漏洞

• 2026 年 2 月 25–26 日：公开披露

• 2026 年 2 月 27 日：Quokka 发布移动端数据

（鞭牛士、AI普瑞斯编译）