원문: trufflesecurity.com | 토론: GeekNews · 댓글 1개
핵심 요약 Google이 10년 넘게 API 키는 비밀이 아니며 공개해도 안전하다고 안내해 왔으나, Gemini API 활성화 이후 동일 키가 민감한 인증 수단으로 변했다. 기존에 Google Maps, Firebase 등에서 사용되던 공개 키가 Gemini API 접근 권한을 자동으로 얻게 되면서, AI 기능이 전혀 없는 앱조차도 키 범위가 수동으로 제한되지 않으면 고비용 모델에 노출된다. Google AI Studio 문서가 오픈 프록시를 통해 앱을 배포하도록 권장하는 것도 문제다.
커뮤니티 의견
- @GN⁺(HN 의견): “Gemini 출시 이전에 생성된 모든 키가 Gemini에 접근하지 못하도록 막는 게 이상적이었음. 최소한 Generative Language API 권한을 모든 기존 키에서 제거해야 함”
💡 실무 포인트: 기존 Google API 키의 Gemini API 접근 권한 즉시 점검, 불필요한 권한 제거