Dă-ne un telefon
Pune o întrebare

Întreabă-ne (aproape) orice

Cine spune că știe să răspundă la orice întrebare, sigur exagerează… Și noi avem limite, ca oricine 🙂

Îți putem răspunde totuși la destul de multe întrebări despre website-uri, campanii de promovare, online marketing, aplicații și tehnologii web, găzduire, ce viruși sau malware mai bântuie pe internet și alte câteva. Pune mai jos ce te frământă, și lasă-ne unde vrei să îți răspundem. Suntem prompți!

RO

EN

Mii de chei API Google publice expun acum date private din Gemini AI

Mii de chei API Google pe care dezvoltatorii le-au încorporat în site-uri publice de-a lungul anilor — urmând indicațiile companiei însăși — pot fi acum utilizate de atacatori pentru a accesa date private din Gemini AI și a genera costuri ridicate, conform unei cercetări publicate în această săptămână de Truffle Security.

Firma a dezvăluit vulnerabilitatea pe 25 februarie, după o perioadă de dezvăluire responsabilă de 90 de zile cu Google, relevând că 2.863 de chei API active găsite pe internet public au fost actualizate automat și discret cu acces la punctele de acces Gemini atunci când serviciul AI a fost activat pe proiecte Google Cloud existente. Organizațiile afectate includ instituții financiare majore, furnizori de servicii de securitate și chiar Google însuși.

Cum a devenit o cheie publică un acces confidențial

Timp de peste un deceniu, Google le-a spus dezvoltatorilor că cheile API din Cloud — utilizate pentru servicii precum Maps, Firebase și YouTube — pot fi încorporate în siguranță în codul client. Chiar lista de verificare de securitate a Firebase menționează explicit că aceste chei API nu sunt secrete.

 

Situația s-a schimbat odată cu lansarea API-ului Gemini. Activarea Generative Language API pe un proiect Google Cloud acordă automat tuturor cheilor existente, fără restricții, din acel proiect acces la punctele terminale Gemini — fără niciun avertisment, fără dialog de confirmare și fără notificare prin email.

„Ai creat o cheie Maps acum trei ani și ai încorporat-o în codul sursă al site-ului tău, exact cum a instruit Google,” a scris Truffle Security în raportul său. „Luna trecută, un dezvoltator din echipa ta a activat API-ul Gemini pentru un prototip intern. Cheia ta publică Maps este acum o credențială Gemini. Oricine o poate extrage are acces la fișierele tale încărcate, la conținutul în cache și poate genera costuri uriașe pe factura ta de AI. Nimeni nu te-a anunțat.”

Atacul în sine este simplu: un atacator vizualizează codul sursă al unui site web, copiază cheia expusă și interogează punctele terminale pentru fișiere și conținut în cache ale Gemini. De acolo, poate accesa seturi de date și documente încărcate sau poate genera „mii de dolari în costuri pe zi pe un singur cont victimă”, conform cercetătorilor.

 

Răspunsul Google a venit încet

Truffle Security a raportat vulnerabilitatea către Programul de Divulgare a Vulnerabilităților Google pe 21 noiembrie 2025. Inițial, Google a clasificat-o ca „comportament intenționat” patru zile mai târziu. După ce cercetătorii au furnizat dovezi din propria infrastructură Google — inclusiv o cheie implementată pe un site web de produs Google încă din februarie 2023, care obținuse acces la Gemini — compania a reclasificat raportul ca fiind un bug pe 2 decembrie.

Pe 13 ianuarie 2026, Google a clasificat oficial defectul ca „Escaladare de Privilegii pentru un Singur Serviciu, CITIRE,” o vulnerabilitate de Nivel 1. Totuși, până pe 2 februarie, compania a confirmat că încă lucra la o remediere a cauzei principale. Fereastra de divulgare de 90 de zile s-a încheiat pe 19 februarie.

Într-o declarație pentru BleepingComputer, Google a spus că a „lucrat cu cercetătorii pentru a aborda problema” și că a „implementat deja măsuri proactive pentru a detecta și bloca cheile API divulgate care încearcă să acceseze API-ul Gemini.” Compania a declarat că noile chei AI Studio vor avea implicit un domeniu limitat doar la Gemini, cheile divulgate vor fi blocate de la accesul la Gemini, iar notificări proactive vor fi trimise când sunt detectate scurgeri de informații.

 

Un pattern mai amplu pentru securitatea în era AI

Vulnerabilitatea provine din utilizarea de către Google Cloud a unui singur format de cheie atât pentru identificare publică, cât și pentru autentificare sensibilă — o arhitectură pe care Truffle Security a descris-o ca fiind „construită pentru o altă eră”. După cum a menționat firma, pattern-ul identificatorilor publici care câștigă în tăcere privilegii sensibile „nu este unic pentru Google. Pe măsură ce din ce în ce mai multe organizații adaugă capabilități AI la platformele existente, suprafața de atac pentru acreditările legacy se extinde în moduri pe care nimeni nu le-a anticipat.”

 

Surse:

https://trufflesecurity.com/blog/google-api-keys-werent-secrets-but-then-gemini-changed-the-rules

https://www.bleepingcomputer.com/news/security/previously-harmless-google-api-keys-now-expose-gemini-ai-data/amp/

https://www.thestack.technology/gemini-powered-exfil-via-public-api-keys/

  • Denisa Grecu
  • 27/02/2026
  • 09:33
  • 0 comments