I over ti år har Google fortalt utviklere at API-nøkler med formatet AIza... trygt kan bygges inn i klientsidekode. Nøklene var ment for offentlige tjenester som Maps, Firebase og YouTube. Men da Gemini API ble aktivert i Google Cloud-prosjekter, fikk eksisterende nøkler automatisk tilgang til KI-endepunktene uten varsling.
CloudSEK avdekket 32 hardkodede nøkler fordelt på 22 Android-apper med til sammen over 500 millioner installasjoner. Nøklene gir tilgang til Googles Generative Language API, inkludert brukerdata sendt via Gemini og innhold lagret i Files API.
«Google initially determined this behavior was intended. By December 2025, Google reclassified the report as a Bug and upgraded the severity» — Truffle Security, som rapporterte sårbarheten i november 2025
Konsekvensene er målbare. Én utvikler fikk en regning på 15 400 dollar i løpet av timer etter at en nøkkel ble utnyttet. En annen organisasjon tapte 128 000 dollar til tross for sikkerhetstiltak.
Hvis du bruker Google API-nøkler i mobil- eller klientsidekode: sjekk om Gemini API er aktivert i prosjektet. Begrens nøkler til spesifikke APIer via Google Cloud Console og roter nøkler som har vært eksponert i publiserte apper.