원문: trufflesecurity.com | 토론: GeekNews · 댓글 1개
핵심 요약 Google이 10년 넘게 “API 키는 비밀이 아니며 공개해도 안전하다"고 안내해왔으나, Gemini API 활성화 이후 동일 키가 민감한 인증 수단으로 변모했다. 기존에 Google Maps, Firebase 등에서 사용되던 공개 키가 Gemini API 접근 권한을 자동으로 얻게 되면서, 공개 저장소에 노출된 API 키를 통한 AI 과금 남용이 가능해진 상황이다.
커뮤니티 의견
- @GN⁺: “Google AI Studio 문서가 오픈 프록시를 통해 앱을 배포하도록 권장하고 있음. AI 기능이 전혀 없는 앱조차도 키 범위가 수동으로 제한되지 않으면 고비용 모델에 노출됨”
💡 실무 포인트: Google API 키를 사용 중이라면 즉시 Generative Language API 권한이 활성화되어 있는지 확인하고, 불필요한 경우 해당 API를 비활성화해야 한다.