3 hafta önce
7
Google altyapısında kullanılan bazı API anahtarlarının yepyeni yapay zekâ entegrasyonu sonrası beklenmeyen tek güvenlik riski oluşturduğu ortaya çıktı. Google API anahtarı güvenlik açığı, daha önce zararsız giriş edilen istemci tarafı kodlarında mekan saha anahtarların Gemini yapay zekâ servislerine erişim sağlayabilmesi dolayı gündeme geldi. Araştırmacılar, internetler genelinde binlerce etkin anahtarın hâlâ herkese açık şekilde bulunduğunu belirtti.
Araştırmacılar Açık Kaynak Kodlarında Binlerce Anahtar Tespit Ediyor
Google API anahtarı güvenlik açığı, geliştiricilerin yıllardır web sitelerinde açık şekilde kullandığı Cloud API anahtarlarının yepyeni ytesirler kazanmasıyla ortaya çıktı. Güvenlik şirketi Truffle Security araştırmacıları, Kasım 2025 tarihli geniş ölçekli internetler bilgi setini inceleyerek yaklaşık 2 binlerce 800 etkin anahtarın herkese açık JavaScript kodlarında mekan aldığını belirledi.
Araştırmacılar, geçmişte yalnızca kişilik tanımlayıcı olarak kullanılan anahtarların artık Gemini API kişilik doğrulaması için da geçerli hâle geldiğini aktardı. Google Cloud API anahtarları güvenliği başlıksu bu değişim sonrası yeniden tartışılmaya başladı.
Geliştiriciler uzunluğu süredir plan yerleştirme, YouTube içerik entegrasyonu ya da çözümleme hizmetleri için API anahtarlarını doğrudan istemci tarafında kullanıyordu. Gemini platformunun devreye alınmasıyla aynı anahtarlar yapay zekâ servislerine erişim sağlayan kişilik malumatlerine dönüştü.
Google’ın açığa çıkan anahtarıAraştırmacılar, saldırganların web sayfası imkan kodundan kopyalanan tek anahtarları aracılığıyla Gemini API uç noktalarına sorgu gönderebildiğini gösterdi. Gemini API bilgi erişim riski, özellikle özel tasarı verilerinin ya da ücretli işlem kotalarının kötüye kullanılmasına yolda açabiliyor.
Uzman ekipler, yoğun API çağrıları gerçekleştiren saldırganların tekbaşına tek hesap üzerinden günlük binlerce dolarlık bedel oluşturabileceğini ifadeleri etti. Yapay zekâ API anahtarları sızıntısı senaryoları bu nedenle mali zarar ihtimalini da gündeme taşıyor.
Google ytesirlileri araştırmacıların raporu sonrası sualnu değerlendirmeye aldı. Şirket, 13 Ocak 2026 tarihinde durumu tekbaşına servis ayrıcalık yükseltme sualni olarak sınıflandırdı. Google, yepyeni güvenlik politikası içerikında sızdırılmış anahtarları otomatik olarak belirleme eden sistemleri devreye soktuğunu açıkladı. Gemini API güvenlik önlemleri çerçevesinde yepyeni oluşturulan AI Studio anahtarları yalnızca Gemini erişimiyle sınırlandırılıyor.
Şirket ayrıca geliştiricilere tasarılerinde Generative Language API tesirn olup olmadığını denetim etmelerini önerdi. Uzmanlar, açıkta bulunan tüm anahtarların derhâl yenilenmesi lüzumtiğini vurguluyor. Araştırmacılar, geliştiricilerin açık anahtarları belirleme etmek için TruffleHog aracını kullanabileceğini belirtiyor. Google API anahtarı güvenlik açığı, yapay zekâ servislerinin şimdiki altyapılarla birleştiğinde önceki güvenlik varsayımlarını hızla geçersiz hâle getirebildiğini gösteriyor.
.jpg?format=webp&width=1200&height=630)
English (US) ·