Google API Keys Não Eram Segredos. Mas Então o Gemini Mudou as Regras

A Truffle Security descobriu que habilitar a Gemini API em um projeto do Google Cloud concede, de forma silenciosa, acesso a endpoints sensíveis do Gemini para chaves API existentes, incluindo aquelas incorporadas publicamente em JavaScript client-side para serviços como Maps e Firebase (CWE-1188, CWE-269). Uma varredura no conjunto de dados Common Crawl de novembro de 2025 identificou 2.863 chaves API Google ativas e vulneráveis a essa escalada de privilégio, afetando grandes instituições financeiras, empresas de segurança e a própria Google. As organizações devem auditar todos os projetos GCP em busca da Generative Language API, restringir ou rotacionar chaves irrestritas ou publicamente expostas, e verificar se nenhuma chave compatível com Gemini está em código client-side ou repositórios públicos.