Wer eine API gegen Bezahlung nutzt, geht selten davon aus, dass ein zur Abrechnung gedachter Schlüssel zum Generalschlüssel für KI-Funktionen wird. Genau das beschreibt Truffle Security: Aktiviert ein Nutzer in seinem Google-Cloud-Projekt die Gemini-API, gewinnen alle vorhandenen API-Schlüssel des Projekts stillschweigend Zugriff auf Gemini-Endpunkte – einschließlich jener Schlüssel, die im JavaScript-Code öffentlicher Websites stehen.

Damit kann jeder Angreifer, der Websites nach solchen Schlüsseln durchsucht, sie für Quoten-Diebstahl und weitere Zwecke einsetzen. Möglich werden laut den Forschern unter anderem Zugriffe auf sensible Dateien über die Endpunkte /files und /cachedContents sowie Gemini-API-Aufrufe, die hohe Rechnungen für die Opfer verursachen.

Verschärft wird das Problem durch eine Standardeinstellung: Ein in Google Cloud neu erstellter API-Schlüssel ist zunächst “unrestricted” (uneingeschränkt) und gilt damit für jede aktivierte API des Projekts, Gemini eingeschlossen. “Das Ergebnis: Tausende API-Schlüssel, die als harmlose Abrechnungstoken ausgerollt wurden, sind nun aktive Gemini-Zugangsdaten im öffentlichen Internet”, so Joe Leon.

Eine ähnliche Untersuchung legte das Mobilsicherheitsunternehmen Quokka vor, das beim Scan von 250.000 Android-Apps über 35.000 einzigartige Google-API-Schlüssel fand. Über die mögliche Kostenausbeutung durch automatisierte LLM-Anfragen hinaus, warnt Quokka, müssten Organisationen bedenken, wie KI-fähige Endpunkte mit Eingaben, generierten Inhalten oder angebundenen Cloud-Diensten interagieren und so die Reichweite eines kompromittierten Schlüssels vergrößern könnten. Schon die Kombination aus Inferenz-Zugriff, Quotenverbrauch und möglicher Anbindung an weitere Google-Cloud-Ressourcen ergebe ein deutlich anderes Risikoprofil als das ursprüngliche Modell einer reinen Abrechnungskennung.

Zunächst galt das Verhalten als beabsichtigt, doch Google hat inzwischen eingegriffen. “Uns ist der Bericht bekannt, und wir haben mit den Forschern zusammengearbeitet, um das Problem zu beheben”, teilte ein Google-Sprecher The Hacker News mit. Man habe bereits proaktive Maßnahmen umgesetzt, um geleakte API-Schlüssel zu erkennen und zu blockieren, die auf die Gemini-API zugreifen wollen.

Ob die Schwachstelle jemals aktiv ausgenutzt wurde, ist bislang unbekannt. In einem Reddit-Beitrag berichtete ein Nutzer jedoch, ein “gestohlener” Google-Cloud-API-Schlüssel habe zwischen dem 11. und 12. Februar 2026 Kosten von 82.314,44 US-Dollar verursacht – bei sonst üblichen 180 US-Dollar pro Monat.

Nutzern mit Google-Cloud-Projekten rät Truffle Security, ihre APIs und Dienste zu prüfen und festzustellen, ob KI-bezogene APIs aktiviert sind. Sind diese aktiv und öffentlich zugänglich – etwa in clientseitigem JavaScript oder in einem öffentlichen Repository –, sollten die Schlüssel rotiert werden, beginnend mit den ältesten: Diese seien am ehesten unter der früheren Annahme veröffentlicht worden, API-Schlüssel könne man bedenkenlos teilen, und hätten nachträglich Gemini-Rechte erhalten.

Tim Erlin, Sicherheitsstratege bei Wallarm, sieht darin ein Beispiel dafür, wie sich Risiken dynamisch verändern und APIs nachträglich mit zu weitreichenden Rechten ausgestattet werden können. Sicherheitstests und Schwachstellen-Scans müssten fortlaufend erfolgen; Organisationen müssten Verhalten und Datenzugriff profilieren, Anomalien erkennen und bösartige Aktivität aktiv blockieren.