Os pesquisadores da Truffle Security descobriram que, com o lançamento da API Gemini, o Google mudou a forma como lida com as chaves de API, elevando-as de 'tokens não críticos' a segredos plenamente funcionais. As chaves agora concedem acesso a pontos finais de LLM de pagamento e podem ser abusadas para fazer pedidos não autorizados em nome do proprietário. 

O artigo explica que anteriormente as chaves de API do Google eram consideradas seguras para serem incorporadas no código do lado do cliente, pois estavam restritas a um domínio ou aplicativo, mas agora a mesma chave pode autorizar pedidos ao generativelanguage.googleapis.com. Isso cria uma nova classe de riscos de vazamento: se uma chave for comprometida, um atacante pode esgotar quotas pagas e acessar dados do projeto sem autenticação adicional. 

📎 Artigo: https://trufflesecurity.com/blog/google-api-keys-werent-secrets-but-then-gemini-changed-the-rules 

💬 Discuta

Mudanças no modelo de segurança de chaves de API do Google após o lançamento do Gemini