APIキーはアプリやサービスがGoogle CloudなどのAPIにアクセスするための認証情報であり、漏洩した場合は第三者に不正利用される恐れがあります。通常、開発者はAPIキーの漏洩に気づくと、管理画面からAPIキーを削除して被害を止めようとします ...

GoogleはFirebaseやGoogleマップなどのAPIキーを「公開しても安全なAPIキー」として案内しています。しかし、同じキーを用いて管理者のGeminiにアクセス可能なことがTruffle Securityの調査によって判明しました。 Google API Keys Weren't Secrets. But then Gemini Changed the Rules.

この脆弱性で製品の利用者に直接影響はないが、アプリ内のデータを解析されてしまうと、外部サービスと連携するためのAPIキーが不正に窃取される可能性がある。 「Wolt」から情報が漏洩したり、最悪の場合、サービスの乗っ取りにつながりかねない。

APAC企業の81%がインシデントを経験、AI連携APIの増加で監視・保護が困難になりリスクが増大 ...