Более десяти лет компания Google уверяла разработчиков, что API-ключи для Google Cloud – используемые в Maps, Firebase и YouTube – совершенно безопасно встраивать прямо в клиентский код. Документация Firebase прямо указывала: такие ключи не являются секретными данными. Именно этой рекомендации следовали тысячи команд по всему миру.
Всё изменилось с появлением Gemini. Как выяснила компания Truffle Security, при подключении Generative Language API в проекте Google Cloud все существующие ключи без ограничений автоматически получают доступ к конечным точкам Gemini – без каких-либо предупреждений, диалоговых окон или уведомлений по электронной почте.
Механизм угрозы исследователи описывают предельно наглядно: разработчик три года назад создал ключ для Maps и встроил его в исходный код сайта ровно так, как советовала Google. В прошлом месяце коллега активировал Gemini API для внутреннего прототипа. Публичный ключ Maps незаметно стал учётными данными для Gemini – и теперь любой желающий может извлечь его прямо из кода страницы.
Масштаб проблемы
В Truffle Security обнаружили в публичном доступе 2863 действующих API-ключа, получивших несанкционированный доступ к Gemini. Среди пострадавших организаций – крупные финансовые учреждения, вендоры в сфере кибербезопасности и сама Google: один из ключей, размещённых на официальном сайте продукта компании как минимум с февраля 2023 года, также получил доступ к Gemini.
Атака технически тривиальна. Злоумышленнику достаточно:
- Открыть исходный код любой публичной страницы и найти API-ключ
- Отправить запросы к конечным точкам Gemini для файлов и кешированного контента
- Получить доступ к загруженным наборам данных и документам жертвы или генерировать счета на тысячи долларов в день на одном аккаунте
Реакция Google
Команда Truffle Security сообщила об уязвимости в Google Vulnerability Disclosure Program 21 ноября 2025 года. Хронология реакции компании:
- 25 ноября 2025: Google классифицировал проблему как «предусмотренное поведение»
- 2 декабря 2025: после предоставления доказательств из собственной инфраструктуры Google переквалифицировала отчёт как баг
- 13 января 2026: уязвимость официально получила статус «Single-Service Privilege Escalation, READ» уровня Tier 1
- 2 февраля 2026: компания подтвердила, что всё ещё работает над устранением первопричины
- 19 февраля 2026: истекло 90-дневное окно ответственного раскрытия информации
В официальном заявлении Google сообщила, что уже внедрила меры для обнаружения и блокировки утёкших ключей, пытающихся получить доступ к Gemini API. Компания также пообещала, что новые ключи AI Studio по умолчанию будут ограничены только Gemini, а при обнаружении утечек владельцам будут отправляться проактивные уведомления.
Системная проблема ИИ-эпохи
В основе уязвимости лежит архитектурное решение Google Cloud: единый формат ключей используется одновременно для публичной идентификации и конфиденциальной аутентификации. Truffle Security охарактеризовала эту схему как «созданную для другой эпохи».
Исследователи особо подчёркивают, что проблема не уникальна для Google. По мере того как всё больше компаний интегрируют возможности ИИ в существующие платформы, поверхность атаки для устаревших учётных данных расширяется непредвиденным образом – и миллионы разработчиков, следовавших официальным рекомендациям вендоров, могут оказаться в аналогичной ситуации.