Falha de configuração transforma credenciais públicas em passe livre para IA do Google
Google Gemini – Recentemente, chaves de API usadas por desenvolvedores começaram a circular em repositórios públicos, funcionando como credenciais ativas da plataforma e permitindo que invasores executem requisições de alto custo sem qualquer limitação.
- Em resumo: Um único dev arcou com fatura de US$15 mil após hackers abusarem de sua chave vazada.
Como as chaves viraram porta aberta
Basta que a API key apareça em um commit público para que bots varredores a identifiquem. Segundo levantamento citado pela Wired, milhares de projetos no GitHub exibem variáveis sensíveis em texto puro, cenário ideal para fraudes de consumo.
Developers’ public API keys now function as live Gemini AI credentials, enabling attackers to run costly and unauthorized operations.
Startups e mercado em alerta
Além do caso que encerrou uma startup solo, consultorias de segurança apontam que o modelo Gemini Ultra custa até US$0,002 por 1.000 tokens gerados: em ataques automatizados, esse valor escala rapidamente. Ferramentas como Google Cloud IAM, variáveis de ambiente criptografadas e limites de rate limiting são recomendadas para mitigar o risco.
Grandes provedores já enfrentaram vazamentos semelhantes no passado, mas o apelo comercial de IAs generativas multiplicou o impacto financeiro. O Google orienta a regenerar chaves expostas e ativar alertas de faturamento, conforme documentação oficial.
O que você acha? Sua equipe já revisou repositórios públicos em busca de chaves sensíveis? Para mais detalhes, acesse nossa editoria especializada.
Crédito da imagem: Divulgação / Google
