Google-API-Keys für Services wie Maps, die in öffentlich einsehbarem Code eingebettet sind, können zur Authentifizierung bei Geminis genutzt werden. Forscher entdeckten knapp 3.000 solcher Schlüssel bei der Analyse von Websites – teilweise sogar von Google selbst.
Eine kritische Sicherheitslücke gefährdet Millionen von Websites weltweit: Google-API-Schlüssel, die lange Zeit als harmlos galten, ermöglichen Angreifern nun unautorisierten Zugriff auf die Gemini-KI und damit verbundene private Daten. Das Problem entstand, als Google seinen Gemini-Assistenten einführte und Entwickler begannen, die LLM-API in ihre Projekte zu integrieren.
Die Sicherheitsforscher von TruffleSecurity machten die beunruhigende Entdeckung: Mehr als 2.800 aktive Google-API-Schlüssel sind öffentlich in JavaScript-Code exponiert. Diese Schlüssel wurden über Jahre hinweg eingebettet – beispielsweise für Google Maps, YouTube-Inhalte oder Firebase-Services – ohne dass jemand ein Sicherheitsrisiko erkannte.
Das Ausmaß ist erheblich. Bei ihrer Untersuchung des Common-Crawl-Datensatzes von November 2025 identifizierten die Forscher Keys von großen Finanzinstituten, Sicherheitsunternehmen und Personalvermittlungen. Ein besonders auffälliger Fall: Ein Google-eigener Produktionsserver verbreitete einen API-Schlüssel seit mindestens Februar 2023 öffentlich.
Die wirtschaftlichen Konsequenzen sind gravierend. Weil die Nutzung der Gemini-API kostenpflichtig ist, können Angreifer durch Missbrauch erhebliche Kosten verursachen. TruffleSecurity warnt: “Je nach Modell und Kontextfenster könnte ein Bedrohungsakteur durch maximale API-Aufrufe täglich Tausende Dollar Gebühren auf einem einzigen Opferkonto generieren.”
Google reagierte, nachdem die Forscher das Problem am 21. November 2025 meldeten. Nach längeren Abstimmungen klassifizierte der Konzern die Schwachstelle am 13. Januar 2026 als “Single-Service Privilege Escalation”. Das Unternehmen kündigte mehrere Maßnahmen an: Neue AI-Studio-Keys sollen nur noch auf Gemini beschränkt sein, geleakte Keys werden blockiert, und automatische Benachrichtigungen warnen vor Sicherheitsverletzungen.
Für Entwickler ist schnelles Handeln erforderlich. Google empfiehlt, die Generative Language API in allen Projekten zu überprüfen, alle API-Schlüssel zu auditieren und sofort zu rotieren. Das Open-Source-Tool TruffleHog hilft dabei, exponierte Keys automatisch zu identifizieren.
Wie dringend das Problem ist, zeigt eine aktuelle Studie von Quokka: Eine Analyse von 250.000 Apps förderte 35.000 Google-API-Keys zu Tage – ein deutliches Zeichen für die Verbreitung dieser Sicherheitslücke.
Quelle: BleepingComputer