Nghiên cứu mới đã phát hiện ra rằng các khóa API Google Cloud, thường được chỉ định làm mã định danh dự án cho mục đích thanh toán, có thể bị lạm dụng để xác thực vào các Gemini endpoints nhạy cảm và truy cập dữ liệu riêng tư.
Phát hiện lỗ hổng
Những phát hiện này đến từ Truffle Security, đơn vị đã khám phá gần 3.000 Google API keys (được nhận dạng bằng tiền tố "AIza") được nhúng trong client-side code để cung cấp các dịch vụ liên quan đến Google, chẳng hạn như bản đồ nhúng trên các trang web.
"Với một khóa hợp lệ, kẻ tấn công có thể truy cập các tệp đã tải lên, dữ liệu được lưu trong bộ nhớ cache và tính phí LLM-usage vào tài khoản của bạn," nhà nghiên cứu bảo mật Joe Leon cho biết, đồng thời nói thêm rằng các khóa này "hiện cũng xác thực vào Gemini mặc dù chúng chưa bao giờ được thiết kế cho mục đích đó."
Vấn đề xảy ra khi người dùng kích hoạt Gemini API trên một Google Cloud project (tức là Generative Language API), khiến các API keys hiện có trong dự án đó, bao gồm cả những khóa có thể truy cập thông qua website JavaScript code, có được quyền truy cập bí mật vào Gemini endpoints mà không có bất kỳ cảnh báo hoặc thông báo nào.
Hậu quả và Tác động
Điều này cho phép bất kỳ kẻ tấn công nào quét các trang web để lấy các API keys như vậy và sử dụng chúng cho các mục đích bất chính và lạm dụng hạn mức (quota theft), bao gồm truy cập các tệp nhạy cảm thông qua các endpoint /files và /cachedContents, cũng như thực hiện các cuộc gọi Gemini API, gây ra những hóa đơn khổng lồ cho nạn nhân.
Ngoài ra, Truffle Security phát hiện ra rằng việc tạo một API key mới trong Google Cloud mặc định là "Unrestricted" (Không giới hạn), có nghĩa là nó có thể áp dụng cho mọi API được bật trong dự án, bao gồm cả Gemini.
"Kết quả: hàng nghìn API keys được triển khai dưới dạng các mã thông báo thanh toán vô hại giờ đây đã trở thành thông tin xác thực Gemini trực tiếp nằm trên internet công cộng," Leon nói. Tổng cộng, công ty cho biết họ đã tìm thấy 2.863 khóa hoạt động có thể truy cập trên internet công cộng, bao gồm cả một trang web liên quan đến Google.
Tiết lộ này được đưa ra khi Quokka cũng công bố một báo cáo tương tự, tìm thấy hơn 35.000 Google API keys độc nhất được nhúng trong quá trình quét 250.000 Android apps của họ.
"Ngoài việc lạm dụng chi phí tiềm ẩn thông qua các yêu cầu LLM tự động, các tổ chức cũng phải xem xét cách các AI-enabled endpoints có thể tương tác với các lời nhắc (prompts), nội dung được tạo hoặc các cloud services được kết nối theo những cách mở rộng blast radius của một khóa bị xâm phạm," công ty bảo mật di động cho biết.
"Ngay cả khi không có dữ liệu khách hàng trực tiếp nào có thể truy cập được, sự kết hợp giữa quyền truy cập suy luận, tiêu thụ hạn mức (quota consumption) và khả năng tích hợp với các tài nguyên Google Cloud rộng lớn hơn sẽ tạo ra một hồ sơ rủi ro khác biệt đáng kể so với mô hình định danh thanh toán ban đầu mà các nhà phát triển đã dựa vào."
Phản hồi của Google và Khuyến nghị
Mặc dù hành vi này ban đầu được coi là có chủ đích, Google sau đó đã can thiệp để giải quyết vấn đề.
"Chúng tôi đã nắm được báo cáo này và đã làm việc với các nhà nghiên cứu để giải quyết vấn đề," một người phát ngôn của Google nói với The Hacker News qua email. "Bảo vệ dữ liệu và cơ sở hạ tầng của người dùng là ưu tiên hàng đầu của chúng tôi. Chúng tôi đã thực hiện các biện pháp chủ động để phát hiện và chặn các API keys bị lộ cố gắng truy cập Gemini API."
Hiện tại vẫn chưa rõ liệu vấn đề này đã từng bị khai thác trong thực tế hay chưa. Tuy nhiên, trong một bài đăng trên Reddit được công bố hai ngày trước, một người dùng đã tuyên bố rằng một "Google Cloud API Key bị đánh cắp" đã dẫn đến các khoản phí lên tới 82.314,44 USD từ ngày 11 đến 12 tháng 2 năm 2026, tăng vọt so với mức chi tiêu thông thường 180 USD mỗi tháng.
Chúng tôi đã liên hệ với Google để bình luận thêm và sẽ cập nhật câu chuyện nếu nhận được phản hồi.
Người dùng đã thiết lập Google Cloud projects được khuyến nghị kiểm tra các APIs và dịch vụ của họ, đồng thời xác minh xem các APIs liên quan đến trí tuệ nhân tạo (AI) có được bật hay không. Nếu chúng được bật và có thể truy cập công khai (thông qua client-side JavaScript hoặc được đưa vào một public repository), hãy đảm bảo rằng các khóa đã được xoay vòng (rotated).
"Hãy bắt đầu với những khóa cũ nhất của bạn trước," Truffle Security cho biết. "Đó là những khóa có khả năng cao nhất đã được triển khai công khai theo hướng dẫn cũ rằng API keys an toàn để chia sẻ, và sau đó được cấp lại quyền Gemini khi ai đó trong nhóm của bạn kích hoạt API."
"Đây là một ví dụ tuyệt vời về cách rủi ro là động, và cách các APIs có thể bị cấp quyền quá mức sau sự việc," Tim Erlin, chiến lược gia bảo mật tại Wallarm, nói trong một tuyên bố. "Security testing, vulnerability scanning và các đánh giá khác phải liên tục."
"Các API đặc biệt phức tạp vì những thay đổi trong hoạt động của chúng hoặc dữ liệu mà chúng có thể truy cập không nhất thiết là vulnerabilities, nhưng chúng có thể trực tiếp làm tăng rủi ro. Việc áp dụng AI chạy trên các APIs này và sử dụng chúng chỉ làm tăng tốc vấn đề. Việc tìm ra vulnerabilities thực sự không đủ đối với các APIs. Các tổ chức phải lập hồ sơ hành vi và quyền truy cập dữ liệu, xác định các bất thường và chủ động chặn hoạt động độc hại."
