Google API anahtarları, yeni bir güvenlik araştırmasına göre Gemini AI hizmeti üzerinden özel verilere erişim riskini gündeme getirdi. Araştırmacılar, binlerce anahtarın herkese açık web sayfalarında bulunduğunu ve kötüye kullanılabileceğini belirtiyor.
Sorunun Ortaya Çıkışı
Araştırmaya göre geliştiriciler uzun süredir Google Cloud API anahtarlarını istemci tarafı kodlarında açık şekilde kullanıyordu. Bu anahtarlar geçmişte hassas kabul edilmediği için güvenlik riski oluşturmadığı düşünülüyordu.
Ancak Google’ın Gemini asistanını devreye almasıyla birlikte durum değişti. Aynı anahtarlar artık Gemini API için kimlik doğrulama aracı olarak da kullanılabilir hale geldi. Bu değişiklik, daha önce zararsız görülen anahtarların risk seviyesini ciddi biçimde yükseltti.
Binlerce Açık Anahtar Tespit Edildi
Truffle Security araştırmacıları internet genelinde yaptıkları taramada çok sayıda açık anahtar buldu. Kasım 2025 tarihli Common Crawl verisi üzerinde yapılan incelemede 2.800’den fazla aktif Google API anahtarı tespit edildi.
Araştırmacılar bu anahtarların finans kuruluşları, güvenlik şirketleri ve işe alım firmaları tarafından kullanıldığını belirtti.
Saldırganlar Nasıl Yararlanabilir
Uzmanlara göre bir saldırgan, web sayfasının kaynak kodundan API anahtarını kopyalayarak Gemini API üzerinden veri erişimi sağlayabilir. Ayrıca Gemini API ücretli olduğu için kötü niyetli kullanım ciddi maliyetlere yol açabilir.
Truffle Security şu uyarıyı yaptı:
Bir tehdit aktörü API çağrılarını maksimum seviyeye çıkarırsa tek bir kurban hesabında günlük binlerce dolarlık maliyet oluşabilir.
Google’dan Açıklama Geldi
Araştırmacılar bulguları Google’a bildirdi. Google, 13 Ocak 2026 tarihinde durumu “tek servisli yetki yükseltme” olarak sınıflandırdı.
Şirket yaptığı açıklamada sızdırılan anahtarları tespit edip engelleyecek önlemler aldığını duyurdu. Ayrıca yeni AI Studio anahtarlarının varsayılan olarak yalnızca Gemini kapsamıyla sınırlandırılacağını bildirdi. Google, sızıntı tespit edildiğinde geliştiricilere proaktif bildirim gönderileceğini de açıkladı.
Geliştiricilere Kritik Uyarı
Uzmanlar geliştiricilere acil denetim çağrısı yaptı. Özellikle şu adımların uygulanması öneriliyor:
Gemini (Generative Language API) etkin mi kontrol edilmeli
Tüm API anahtarları denetlenmeli
Herkese açık anahtarlar derhal yenilenmeli
Kod ve depolarda sızıntı taraması yapılmalı
Araştırmacılar ayrıca açık anahtarları tespit etmek için TruffleHog adlı açık kaynak aracın kullanılabileceğini belirtti.