Vấn Đề Chính
Google Cloud sử dụng một định dạng API key duy nhất (AIza...) cho hai mục đích khác nhau: xác định công khai và xác thực nhạy cảm. Trong nhiều năm, Google khẳng định rằng API keys có thể được nhúng trong mã phía client mà không gặp rủi ro.
Vấn Đề Với Gemini
Khi kích hoạt API Gemini trên một dự án Google Cloud, các API key hiện tại có thể truy cập vào các điểm cuối nhạy cảm của Gemini mà không cần cảnh báo nào.
Mở Rộng Quyền Hạn Không Mong Muốn
- API key được tạo và nhúng cho Maps.
- API Gemini được kích hoạt.
- Không có cảnh báo thay đổi quyền hạn.
Thiếu Bảo Mật
Khi tạo một API key mới trong Google Cloud, mặc định là “Unrestricted,” cho phép truy cập tất cả các API trong dự án, bao gồm cả Gemini.
Nguy Cơ Khi Để Lộ API Keys
Kẻ Tấn Công Có Thể Làm Gì
- Truy cập dữ liệu riêng tư: Thông qua các endpoints như
/files/. - Tăng hóa đơn sử dụng của bạn: Sử dụng nhiều API Gemini.
Hậu Quả
Sẽ có hàng nghìn API key ban đầu được dùng như token thanh toán, nay trở thành thông tin xác thực nhạy cảm.
Bằng Chứng Từ Chính Google
Chúng tôi đã cung cấp cho Google các ví dụ từ hạ tầng của chính họ để chứng minh vấn đề. Keys này đã được sử dụng công khai từ tháng 2 năm 2023.
Lịch Trình Tiết Lộ
- Nov 21, 2025: Báo cáo cho VDP của Google.
- Feb 19, 2026: Kết thúc thời gian tiết lộ 90 ngày.
Hướng Dẫn Người Dùng
Bước 1: Kiểm tra API Gemini
Vào GCP console > APIs & Services > Enabled APIs & Services.
Bước 2: Kiểm tra cấu hình API keys.
Những API key này nên được audit để kịp thời phát hiện lỗ hổng.
Bước 3: Xác minh key không công khai.
Nếu phát hiện key bị lộ, cần phải thay thế ngay lập tức.
Dùng TruffleHog
Sử dụng TruffleHog để kiểm tra mã nguồn và xác minh các API key.
trufflehog filesystem /path/to/your/code --only-verifiedTài Nguyên Bổ Sung
Webinar: Google API Keys Weren’t Secrets. But then Gemini Changed the Rules.