Chaves de API do Google Não Eram Segredos. Mas Então o Gemini Mudou as Regras

As chaves de API do Google sempre foram consideradas identificadores públicos benignos, seguros para incorporação no lado do cliente. No entanto, com a introdução do Gemini, elas retroativamente adquiriram privilégios de autenticação sensíveis, alterando fundamentalmente seu status de segurança.

Quando a Generative Language API é ativada em um projeto do Google Cloud, chaves de API públicas existentes podem agora acessar silenciosamente dados privados do Gemini, como arquivos carregados e conteúdo em cache, além de gerar custos de uso inesperados. Essa vulnerabilidade crítica permite que atacantes rastreiem websites públicos em busca dessas chaves e as explorem para acessar dados confidenciais ou esgotar cotas de serviço de forma secreta.