Хотели добавить карту на сайт, а оплатили доступ к ИИ для половины интернета. Так работает новая уязвимость Google

Google много лет убеждал разработчиков, что ключи Google API можно спокойно оставлять на виду, прямо в исходном коде сайта. Такие ключи легко узнать по началу «AIza», их вставляют в страницы для Карт Google, Firebase и других сервисов. Теперь выяснилось, что привычное правило перестало работать.

После появления Gemini тот же самый ключ из публичного кода может открыть доступ к данным, которые никто не собирался показывать посторонним, а заодно позволить тратить деньги владельца проекта на запросы к языковым моделям.

Авторы расследования из The Dig пишут, что проблема в архитектуре. В Google Cloud один и тот же формат ключа используют для двух разных задач. Исторически ключ служил скорее «ярлыком проекта» для учёта и оплаты, а не секретом. Поэтому Google прямо говорил, что ключи API не относятся к секретам, и даже в документации по Картам Google предлагал вставлять ключ в код страницы. Для таких ключей существуют ограничения по источнику запроса, например по списку разрешённых адресов страниц, но подобные ограничения обходят, а сами ключи изначально не проектировали как полноценные учётные данные.

Ситуация меняется, когда в том же проекте включают API Gemini, в тексте он называется Generative Language API. После включения у уже существующих ключей в проекте может появиться доступ к «чувствительным» точкам Gemini. Предупреждения в интерфейсе, письма или отдельного подтверждения авторы не увидели. Вчерашний ключ для виджета карты, который годами лежал в публичном JavaScript, внезапно начинает работать как ключ к Gemini. Достаточно, чтобы кто-то в команде включил Gemini для внутреннего прототипа, а старый ключ остался прежним и продолжил жить в исходниках сайта.

Авторы описывают простой сценарий атаки. Злоумышленник находит ключ в коде страницы, затем обращается к интерфейсам Gemini с этим ключом. Вместо запрета сервер возвращает успешный ответ. По их словам, через такие запросы можно увидеть список загруженных файлов и сохранённый контекст, а также «накрутить» расходы на обращения к моделям или исчерпать лимиты, из-за чего легитимные приложения перестанут отвечать. Важная деталь: инфраструктуру жертвы взламывать не нужно, достаточно скопировать ключ из открытого кода.

Чтобы оценить масштаб, авторы просмотрели набор Common Crawl за ноябрь 2025 года и заявили, что нашли 2863 действующих ключа Google API, которые лежат в открытом доступе и при этом принимаются Gemini. По их словам, среди затронутых оказались крупные компании из финансового сектора, фирмы из области безопасности, международные кадровые сервисы, а также сам Google. В качестве демонстрации они проверили ключ, который находился в исходном коде публичной страницы одного из продуктов Google как минимум с февраля 2023 года, то есть ещё до появления Gemini. Проверка через точку /models вернула успешный ответ и список доступных моделей. Авторы подчёркивают, что ключ использовали как обычный публичный идентификатор проекта, без попыток обращаться к «генеративным» функциям.

Об уязвимостях сообщили в Google 21 ноября 2025 года. Сначала проблему назвали «задуманным поведением», затем после примеров с ключами самой корпорации статус изменили на ошибку и повысили оценку влияния. Команда попросила полный список найденных ключей и получила его. Дальше, по описанию авторов, Google запустил внутренний процесс поиска утёкших ключей и начал ограничивать доступ таких ключей к Gemini, параллельно обсуждая исправление первопричины. К 13 января 2026 года уязвимость классифицировали как «Single-Service Privilege Escalation, READ» уровня Tier 1. На 2 февраля 2026 года работа над исправлением первопричины, по словам авторов, ещё продолжалась, а 90-дневное окно раскрытия завершилось 19 февраля 2026 года.

В Google отметили, что новые ключи в AI Studio планируют по умолчанию ограничивать только Gemini, чтобы ключ случайно не работал в других сервисах. Также компания собирается по умолчанию блокировать ключи, которые обнаружили в утечках и увидели в запросах к Gemini, и обещает заранее уведомлять владельцев проектов о найденных утёкших ключах.

Для команд, которые используют Google Cloud, вывод приземлённый. Если в проекте включили Gemini, стоит проверить все ключи API и убедиться, что ключи с доступом к Gemini не попали в публичные сайты и открытые хранилища кода. Старые ключи для карт и других «клиентских» сценариев выглядят особенно опасно, потому что такие ключи годами публиковали по прежним рекомендациям. Если ключ оказался на виду и при этом подходит для Gemini, ключ лучше заменить и настроить ограничения по сервисам и окружениям так, чтобы ключ для публичного интерфейса не мог открывать доступ к данным Gemini.