Tempo de leitura: 3 minutos
Chaves de API da Google para serviços como o Maps, embutidas em códigos do lado do cliente, podem ser exploradas para autenticação na IA Gemini na obtenção de dados privados. A descoberta, feita pelos pesquisadores de segurança da TruffleSecurity, veio com o achado de 3.000 chaves do tipo em um monitoramento de páginas da internet de diversas organizações.
O problema se originou na introdução do Gemini como assistente, quando desenvolvedores passaram a permitir a API do modelo de linguagem em seus projetos. Antes disso, chaves de API do Google Cloud não eram consideradas dados sensíveis, e podiam ser expostas online sem risco.
Perigos das chaves de API
As chaves de API são usadas para estender funcionalidades em um projeto, como carregar o Google Maps em um site ou embutir vídeos do YouTube. Quando o Gemini chegou, as chaves de API da Google Cloud também serviam como credenciais de autenticação para o assistente de IA da empresa. A depender do modelo e contexto, é possível gerar milhares de dólares em dívidas ao usuário por dia.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Embora antes a exposição das chaves no JavaScript não importasse, de um dia para o outro isso ganhou importância de maneira quase despercebida. Em um levantamento de novembro de 2025, a empresa descobriu mais de 2.800 chaves de API da Google expostas em sites populares.
O problema foi reportado à Google, ainda no ano passado, levando a empresa a considerar a falha como “escalada de privilégios de serviço único” no último dia 13 de janeiro.
O Google divulgou um comunicado relatando estar ciente do problema e estar trabalhando com especialistas para resolver o caso. O plano é detectar e bloquear chaves de API vazadas e tornar padrão que chaves do novo AI Studio sejam exclusivas ao Gemini.
Aos desenvolvedores, é recomendado checar se a API de linguagem generativa da LLM está ligada e fazer auditoria em todas as chaves do ambiente.
Confira também:
- Ironia pura: Meta processa golpistas após faturar com anúncios falsos
- Como proteger sua TV Box ou Smart TV de ataques hacker
- Hackers usam plataforma ilegal para exibir anúncios maliciosos no Google
Leia a matéria no Canaltech.
TucanoWeb – Especialista em Soluções Web: Sites à partir de R$299
TucanoCloud – Especialista em Hospedagens: 30 Dias Grátis
SitesProntosBR – Venda de Sites Prontos e Scripts: À partir de R$49
Cursos de Programação Grátis com Certificado – Digital Innovation One: Gratuito e 100% Online
Tags: hospedagem barata, hospedagem de sites wordpress, hospedagem de sites, hospedagem vps barata, servidores dedicados, hospedagem de sites barata, criação de sites, criação de sites barata, criação de sites em wordpress, wordpress, sites wordpress, certificado ssl, manutenção de sites, loja online, criação de loja online, criação de loja online barata, hospedagem nacional, servidor vps nacional, servidores vps, vender site online, vender script online.
