嵌入在可存取的用戶端程式碼中的 Google API 金鑰（例如地圖服務）可用於對 Gemini AI 助理進行驗證並存取私人資料。研究人員在掃描各行業組織甚至谷歌的網頁時，發現了近 3000 個這樣的金鑰。

問題出在Google推出 Gemini 助理之後，開發者開始在專案中啟用 LLM API。在此之前，Google雲端 API 金鑰不被視為敏感數據，可以安全地在線上公開。開發者可以使用 API 金鑰來擴展專案的功能，例如在網站上載入地圖以共享位置、用於 YouTube 嵌入、使用情況追蹤或 Firebase 服務。

Gemini推出時，Google Cloud API金鑰也充當了Google AI助理的身份驗證憑證。TruffleSecurity 的研究人員發現了這個問題，並警告攻擊者可以從網站的頁面原始碼複製 API 金鑰，並存取透過 Gemini API 服務提供的私人資料。

研究人員於去年 11 月 21 日將此問題告知了Google。經過長時間的交流，Google於 2026 年 1 月 13 日將漏洞歸類為「單服務權限提升」。Google 發言人告訴 BleepingComputer：我們已經採取積極措施來檢測和阻止試圖存取 Gemini API 的洩露 API 金鑰。

開發人員應檢查其專案中是否啟用了 Gemini（生成式語言 API），並審核其環境中的所有 API 金鑰，以確定是否有任何金鑰公開暴露，並立即輪調這些。

資料來源：https://www.bleepingcomputer.com/news/security/previously-harmless-google-api-keys-now-expose-gemini-ai-data/