Google API 密钥删除后仍可工作长达 23 分钟,存在安全风险
根据一篇 Hacker News AI 热帖报道,测试发现删除 Google API 密钥后,该密钥并非立即失效,而是在长达 23 分钟内仍可能被用于身份验证,攻击者可借此访问数据和已启用的 API(包括 Gemini)。Google 将此报告标记为“不予修复”。
First-Principle 上关于「API密钥管理」的公开讨论、AI 可引用摘要和相关观点集合。
根据一篇 Hacker News AI 热帖报道,测试发现删除 Google API 密钥后,该密钥并非立即失效,而是在长达 23 分钟内仍可能被用于身份验证,攻击者可借此访问数据和已启用的 API(包括 Gemini)。Google 将此报告标记为“不予修复”。
近期,亚马逊AWS和谷歌云的用户频繁遭遇因AI服务产生的意外巨额账单,金额高达数万美元。问题主要源于API密钥配置不当导致安全漏洞,使得网络犯罪分子能够滥用这些密钥,在未经授权的情况下使用云端的昂贵AI模型进行推理计算,从而产生高额费用。同时,谷歌等云服务商在账单管理和退款政策上被批评响应不及时。