云聚 AI Token Plan 满 199 减 35 元
port:80 AI Junkie
AI 重度玩家的工程笔记本
DigitalOcean 开发者云

惊天漏洞:原本公开的谷歌API密钥竟能窃取Gemini私有数据,连谷歌自己中招

云聚 AI Token Plan 满 199 减 35 元

Truffle Security披露了一个影响深远的谷歌云安全漏洞。过去十年,谷歌一直教导开发者API密钥(如用于地图、Firebase)并非敏感信息,可以公开嵌入代码。然而,随着Gemini API的引入,原本用于计费的“公开”密钥在同一项目中悄然获得了访问私有AI数据和敏感端点的权限,且不会发出任何警告。研究人员扫描发现近3000个谷歌API密钥因此暴露在风险中,甚至包括谷歌自家的密钥。攻击者可利用这些密钥直接读取用户文件、消耗API配额,这揭示了AI技术接入旧有认证架构时引发的严重“权限回溯”风险。

原文链接:Hacker News

阿里云 OPC 一人公司创业装备库
阿里云函数计算 一键部署 AI 大模型
赞(0)
未经允许不得转载:80aj » 惊天漏洞:原本公开的谷歌API密钥竟能窃取Gemini私有数据,连谷歌自己中招
赞助推荐 FoxCode Claude Code 稳定中转
阿里云函数计算 一键部署 AI 大模型

GLM Claude Code · 国产平替不封号

官方 Claude Code 又涨价又要 KYC,封号还得重配环境?智谱 GLM 兼容 Claude Code,稳定不封号、价格友好,注册后把现有 Claude Code 工作流直接切过来继续用。

立即体验 GLM查看套餐价格