As chaves de API da Google, que dantes serviam apenas para tarefas simples como mostrar a localização de um restaurante num mapa, transformaram-se num risco de segurança inesperado. Com o surgimento do assistente Gemini, estas credenciais, que anteriormente não eram consideradas dados sensíveis, passaram a permitir a autenticação direta no serviço de inteligência artificial da empresa, abrindo a porta a acessos indevidos.
Chaves expostas e o risco de exploração
De acordo com uma investigação da TruffleSecurity, foram detetadas quase 3.000 chaves de API expostas publicamente no código JavaScript de diversos sites. O problema agravou-se quando a Google permitiu que estas mesmas chaves fossem utilizadas para aceder à IA. Muitos programadores, ao ativarem as novas funcionalidades de linguagem nos seus projetos, deram permissões perigosas a códigos que já estavam online há anos sem qualquer proteção.
A gravidade da situação não é apenas teórica. Um atacante que consiga copiar uma destas chaves pode aceder a dados privados ou utilizar o serviço para proveito próprio. Como a utilização da API do Gemini não é gratuita, as contas das vítimas podem sofrer cobranças de milhares de euros por dia, dependendo do volume de pedidos realizados pelo pirata informático.
Resposta da empresa e medidas de proteção
A tecnológica já foi alertada para esta falha e, em janeiro de 2026, classificou o problema como uma escalada de privilégios. Em declarações oficiais, a marca confirmou que já implementou medidas para detetar e bloquear chaves que tenham sido expostas. A partir de agora, as novas chaves do AI Studio terão o seu acesso restrito apenas ao Gemini por defeito, e serão enviados alertas automáticos sempre que for detetada uma fuga de informação.
Para quem gere sites ou aplicações, a recomendação passa por auditar todas as chaves de API ativas e revogar aquelas que estejam expostas publicamente. Os investigadores sugerem ainda a utilização da ferramenta de código aberto TruffleHog para verificar a segurança dos repositórios e garantir que nenhuma credencial vital ficou esquecida no código visível para os utilizadores.
Nenhum comentário
Seja o primeiro!