Nghiên cứu mới đã phát hiện ra rằng các khóa API Google Cloud, thường được chỉ định làm mã định danh dự án cho mục đích thanh toán, có thể bị lạm dụng để xác thực vào các điểm cuối Gemini nhạy cảm và truy cập dữ liệu riêng tư.
Những phát hiện này đến từ Truffle Security, công ty đã phát hiện gần 3.000 khóa API Google (được xác định bằng tiền tố "AIza") được nhúng trong mã phía máy khách để cung cấp các dịch vụ liên quan đến Google như bản đồ nhúng trên các trang web.
"Với một khóa hợp lệ, kẻ tấn công có thể truy cập các tệp đã tải lên, dữ liệu được lưu trong bộ nhớ cache và tính phí sử dụng LLM vào tài khoản của bạn," nhà nghiên cứu bảo mật Joe Leon cho biết, đồng thời nói thêm rằng các khóa này "hiện cũng xác thực với Gemini ngay cả khi chúng chưa bao giờ được thiết kế cho mục đích đó."
Vấn đề xảy ra khi người dùng bật Gemini API trên một dự án Google Cloud (tức là Generative Language API), khiến các khóa API hiện có trong dự án đó, bao gồm cả những khóa có thể truy cập thông qua mã JavaScript của trang web, có được quyền truy cập bí mật vào các điểm cuối Gemini mà không có bất kỳ cảnh báo hoặc thông báo nào.
Điều này cho phép bất kỳ kẻ tấn công nào quét các trang web để lấy các khóa API đó và sử dụng chúng cho các mục đích bất chính và đánh cắp hạn ngạch (quota theft), bao gồm truy cập các tệp nhạy cảm qua các điểm cuối /files và /cachedContents, cũng như thực hiện các cuộc gọi Gemini API, gây ra hóa đơn khổng lồ cho nạn nhân.
Ngoài ra, Truffle Security còn phát hiện ra rằng việc tạo khóa API mới trong Google Cloud mặc định là "Unrestricted" (không giới hạn), nghĩa là nó áp dụng cho mọi API được bật trong dự án, bao gồm cả Gemini.
"Kết quả: hàng ngàn khóa API được triển khai dưới dạng token thanh toán vô hại giờ đây đã trở thành thông tin đăng nhập Gemini hoạt động trên internet công cộng," Leon nói. Tổng cộng, công ty cho biết họ đã tìm thấy 2.863 khóa hoạt động có thể truy cập được trên internet công cộng, bao gồm cả một trang web liên quan đến Google.
Thông báo này được đưa ra khi Quokka công bố một báo cáo tương tự, tìm thấy hơn 35.000 khóa API Google độc đáo được nhúng trong quá trình quét 250.000 ứng dụng Android.
"Ngoài việc lạm dụng chi phí tiềm năng thông qua các yêu cầu LLM tự động, các tổ chức cũng phải xem xét cách các điểm cuối hỗ trợ AI có thể tương tác với các lời nhắc (prompts), nội dung được tạo ra, hoặc các dịch vụ đám mây được kết nối theo những cách mở rộng phạm vi ảnh hưởng (blast radius) của một khóa bị xâm phạm," công ty bảo mật di động cho biết.
"Ngay cả khi không có dữ liệu khách hàng trực tiếp nào có thể truy cập được, sự kết hợp giữa quyền truy cập suy luận, tiêu thụ hạn ngạch và khả năng tích hợp với các tài nguyên Google Cloud rộng lớn hơn sẽ tạo ra một hồ sơ rủi ro khác biệt đáng kể so với mô hình định danh thanh toán ban đầu mà các nhà phát triển đã dựa vào."
Mặc dù hành vi này ban đầu được coi là có chủ đích, Google sau đó đã can thiệp để giải quyết vấn đề.
"Chúng tôi nhận thức được báo cáo này và đã làm việc với các nhà nghiên cứu để giải quyết vấn đề," một người phát ngôn của Google nói với The Hacker News qua email. "Bảo vệ dữ liệu và cơ sở hạ tầng của người dùng là ưu tiên hàng đầu của chúng tôi. Chúng tôi đã triển khai các biện pháp chủ động để phát hiện và chặn các khóa API bị lộ cố gắng truy cập Gemini API."
Hiện tại vẫn chưa rõ liệu vấn đề này có từng bị khai thác trên thực tế hay không. Tuy nhiên, trong một bài đăng trên Reddit được xuất bản hai ngày trước, một người dùng đã tuyên bố rằng một khóa API Google Cloud "bị đánh cắp" đã dẫn đến các khoản phí 82.314,44 USD trong khoảng thời gian từ ngày 11 đến 12 tháng 2 năm 2026, tăng từ mức chi tiêu thông thường là 180 USD mỗi tháng.
Chúng tôi đã liên hệ với Google để có thêm bình luận và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi.
Lời khuyên cho người dùng Google Cloud
Người dùng đã thiết lập các dự án Google Cloud được khuyến nghị kiểm tra các API và dịch vụ của họ, đồng thời xác minh xem các API liên quan đến trí tuệ nhân tạo (AI) có được bật hay không. Nếu chúng được bật và có thể truy cập công khai (thông qua JavaScript phía máy khách hoặc được kiểm tra vào kho lưu trữ công khai), hãy đảm bảo các khóa được xoay vòng (rotated).
"Hãy bắt đầu với những khóa cũ nhất của bạn trước," Truffle Security nói. "Đó là những khóa có nhiều khả năng đã được triển khai công khai theo hướng dẫn cũ rằng các khóa API an toàn để chia sẻ, và sau đó đã tự động có được đặc quyền Gemini khi ai đó trong nhóm của bạn bật API."
"Đây là một ví dụ tuyệt vời về cách rủi ro là động, và cách các API có thể bị cấp quyền quá mức sau sự việc," Tim Erlin, chiến lược gia bảo mật tại Wallarm, cho biết trong một tuyên bố. "Kiểm tra bảo mật, quét lỗ hổng và các đánh giá khác phải được thực hiện liên tục."
"Các API đặc biệt khó khăn vì những thay đổi trong hoạt động hoặc dữ liệu mà chúng có thể truy cập không nhất thiết là lỗ hổng, nhưng chúng có thể trực tiếp làm tăng rủi ro. Việc áp dụng AI chạy trên các API này, và sử dụng chúng, chỉ làm tăng tốc vấn đề. Việc tìm ra lỗ hổng thực sự chưa đủ đối với API. Các tổ chức phải lập hồ sơ hành vi và truy cập dữ liệu, xác định các bất thường và chủ động chặn các hoạt động độc hại."
