← AI 動態
Simon Willison
谷歌 API 金鑰安全漏洞:Gemini 改變了規則
谷歌 API 金鑰原本不是密碼,但 Gemini 的變化使其變成可以存取私人檔案和進行可計費的 API 請求
API 安全
Gemini
谷歌
谷歌 API 金鑰原本設計為公開的,因為它們被嵌入在網頁中。但是,Gemini 的出現改變了這個規則。Gemini API 金鑰可以用來存取私人檔案和進行可計費的 API 請求,這使得原本公開的金鑰變成了一個安全漏洞。開發者可能不知道自己的金鑰已經變成了一個秘密憑證,從而導致意外的 Gemini 請求和費用。這個安全漏洞被 Truffle Security 發現,他們在 2025 年 11 月的 Common Crawl 中發現了 2,863 個可以存取 Gemini 的 API 金鑰,其中包括 Google 自己的金鑰。