Una nueva investigación ha descubierto que se podría forzar de las claves API de Google Cloud, generalmente designadas como identificadores de plan con fines de facturación, para autenticarse en puntos finales sensibles de Gemini y aceptar a datos privados.
Los hallazgos provienen de Truffle Security, que descubrió casi 3.000 claves API de Google (identificadas por el prefijo “AIza”) incrustadas en el código del flanco del cliente para proporcionar servicios relacionados con Google, como mapas incrustados en sitios web.
“Con una secreto válida, un atacante puede aceptar a los archivos cargados, a los datos almacenados en personalidad y cargar el uso de LLM a su cuenta”, dijo el investigador de seguridad Joe Leon, añadiendo que las claves “ahora incluso se autentican en Gemini aunque nunca fueron destinadas a ello”.
El problema ocurre cuando los usuarios habilitan la API de Gemini en un plan de Google Cloud (es proponer, API de jerga generativo), lo que hace que las claves de API existentes en ese plan, incluidas aquellas a las que se puede aceptar a través del código JavaScript del sitio web, obtengan ataque subrepticio a los puntos finales de Gemini sin ninguna advertencia o aviso.
Esto permite efectivamente que cualquier atacante que raspe sitios web obtenga dichas claves API y las utilice con fines nefastos y robo de cuotas, incluido el ataque a archivos confidenciales a través de los puntos finales /files y /cachedContents, así como realizar llamadas a la API Gemini, acumulando enormes facturas para las víctimas.
Adicionalmente, Truffle Security descubrió que la creación de una nueva secreto API en Google Cloud tiene como valía predeterminado “Sin restricciones”, lo que significa que es aplicable para todas las API habilitadas en el plan, incluido Gemini.
“El resultado: miles de claves API que se implementaron como tokens de facturación benignos ahora son credenciales de Gemini activas en la Internet pública”, dijo Leon. En total, la compañía dijo que encontró 2.863 claves activas accesibles en la Internet pública, incluido un sitio web asociado con Google.
La divulgación se produce cuando Quokka publicó un mensaje similar, en el que encontró más de 35.000 claves API únicas de Google integradas en su disección de 250.000 aplicaciones de Android.
“Más allá del posible exceso de costos a través de solicitudes automatizadas de LLM, las organizaciones incluso deben considerar cómo los puntos finales habilitados para IA podrían interactuar con mensajes, contenido generado o servicios en la montón conectados de modo que amplíen el radiodifusión de crisis de una secreto comprometida”, dijo la compañía de seguridad móvil.
“Incluso si no se puede aceptar a datos directos del cliente, la combinación de ataque a inferencia, consumo de cuotas y posible integración con bienes más amplios de Google Cloud crea un perfil de aventura que es materialmente diferente del maniquí de identificador de facturación innovador en el que confiaron los desarrolladores”.
Aunque inicialmente se consideró que el comportamiento era intencionado, desde entonces Google intervino para solucionar el problema.
“Somos conscientes de este mensaje y hemos trabajado con los investigadores para topar el problema”, dijo un portavoz de Google a The Hacker News por correo electrónico. “Proteger los datos y la infraestructura de nuestros usuarios es nuestra principal prioridad. Ya hemos implementado medidas proactivas para detectar y sitiar claves API filtradas que intentan aceptar a la API de Gemini”.
Actualmente no se sabe si este problema alguna vez fue explotado en la naturaleza. Sin confiscación, en una publicación de Reddit publicada hace dos días, un adjudicatario afirmó que una secreto API de Google Cloud “robada” generó cargos por $82,314.44 entre el 11 y el 12 de febrero de 2026, frente a un compra regular de $180 por mes.
Nos comunicamos con Google para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.
Se recomienda a los usuarios que hayan configurado proyectos de Google Cloud que verifiquen sus API y servicios, y verifiquen si las API relacionadas con la inteligencia fabricado (IA) están habilitadas. Si están habilitadas y son de ataque notorio (ya sea en JavaScript del flanco del cliente o registradas en un repositorio notorio), asegúrese de que las claves estén rotadas.
“Comienzo primero con las claves más antiguas”, dijo Truffle Security. “Es más probable que se hayan implementado públicamente bajo la antigua orientación de que las claves API se pueden compartir de forma segura y luego obtuvieron privilegios de Gemini de modo retroactiva cuando cualquiera de su equipo habilitó la API”.
“Este es un gran ejemplo de cómo el aventura es dinámico y cómo las API pueden tener permisos excesivos a posteriori del hecho”, dijo Tim Erlin, estratega de seguridad de Wallarm, en un comunicado. “Las pruebas de seguridad, el escaneo de vulnerabilidades y otras evaluaciones deben ser continuas”.
“Las API son complicadas en particular porque los cambios en sus operaciones o los datos a los que pueden aceptar no son necesariamente vulnerabilidades, pero pueden aumentar directamente el aventura. La acogida de IA que se ejecuta en estas API y su uso solo acelera el problema. Encontrar vulnerabilidades no es suficiente para las API. Las organizaciones tienen que perfilar el comportamiento y el ataque a los datos, identificar anomalías y sitiar activamente la actividad maliciosa”.
