Kunci API Google yang Dulu Dianggap Aman Kini Bisa Bocorkan Data Gemini AI
Ribuan kunci API Google yang selama ini dianggap tidak sensitif dan kerap tertanam dalam kode sisi klien (client-side) kini berpotensi membuka akses ke data privat layanan Gemini AI.
Temuan ini diungkap oleh firma keamanan Truffle Security setelah melakukan pemindaian terhadap halaman web publik dari berbagai organisasi lintas sektor, termasuk milik Google sendiri. Hasilnya, ditemukan hampir 3.000 kunci API Google yang terekspos secara publik.
Perubahan Risiko Setelah Hadirnya Gemini
Sebelumnya, kunci API Google Cloud umum digunakan pengembang untuk memperluas fungsi proyek, seperti memuat Google Maps di situs web, menyematkan video YouTube, melacak penggunaan, atau mengintegrasikan layanan Firebase. Dalam konteks tersebut, kunci API tidak diperlakukan sebagai kredensial sensitif.
Namun situasi berubah setelah Google memperkenalkan asisten AI Gemini dan mengaktifkan API LLM dalam berbagai proyek. Sejak saat itu, kunci API Google Cloud juga dapat berfungsi sebagai kredensial autentikasi untuk mengakses layanan Gemini.
Artinya, kunci API yang tertanam di kode JavaScript publik dapat disalin oleh pihak tidak berwenang dan digunakan untuk memanggil API Gemini, termasuk mengakses data privat yang tersedia melalui layanan tersebut.
Potensi Kerugian Finansial
Karena penggunaan API Gemini tidak gratis, penyalahgunaan kunci API dapat menimbulkan kerugian finansial signifikan bagi pemilik akun.
Menurut Truffle Security, pelaku ancaman yang memaksimalkan panggilan API dengan model dan konteks tertentu berpotensi menghasilkan tagihan hingga ribuan dolar per hari hanya dari satu akun korban.
Yang menjadi perhatian, banyak kunci API ini telah terekspos selama bertahun-tahun di dalam kode publik tanpa dianggap berbahaya. Kini, tanpa perubahan pada sisi pengembang, kunci tersebut secara tiba-tiba memiliki hak akses lebih luas akibat integrasi Gemini.
Temuan dari Dataset Common Crawl
Dalam analisis terhadap dataset Common Crawl edisi November 2025—yang merepresentasikan snapshot besar situs populer—peneliti menemukan lebih dari 2.800 kunci API Google aktif yang terekspos di dalam kode publik.
Sebagian kunci tersebut diketahui digunakan oleh institusi keuangan besar, perusahaan keamanan, serta firma rekrutmen. Peneliti juga melaporkan temuan ini kepada Google, termasuk contoh yang ditemukan pada infrastruktur perusahaan tersebut.
Dalam satu kasus, sebuah kunci API yang awalnya hanya berfungsi sebagai identifier telah tertanam di halaman produk publik Google setidaknya sejak Februari 2023. Peneliti berhasil menggunakan kunci tersebut untuk memanggil endpoint /models pada API Gemini dan menampilkan daftar model yang tersedia.
Respons Google dan Langkah Mitigasi
Peneliti melaporkan masalah ini ke Google pada 21 November tahun lalu. Setelah proses komunikasi panjang, Google mengklasifikasikan isu tersebut sebagai “single-service privilege escalation” pada 13 Januari 2026.
Dalam pernyataan resminya, Google menyebut telah bekerja sama dengan peneliti untuk mengatasi masalah tersebut. Perusahaan juga mengimplementasikan langkah proaktif untuk mendeteksi dan memblokir kunci API yang bocor dan mencoba mengakses Gemini.
Ke depan, kunci baru yang dibuat melalui AI Studio akan secara default memiliki cakupan terbatas hanya untuk Gemini. Google juga menyatakan akan memblokir kunci API yang bocor agar tidak dapat mengakses layanan tersebut, serta mengirimkan notifikasi proaktif jika kebocoran terdeteksi.
Imbauan untuk Pengembang
Pengembang disarankan segera memeriksa apakah Gemini (Generative Language API) telah diaktifkan dalam proyek mereka, serta melakukan audit menyeluruh terhadap seluruh kunci API di lingkungan pengembangan.
Jika ditemukan kunci yang terekspos secara publik, langkah rotasi harus segera dilakukan. Peneliti juga merekomendasikan penggunaan alat sumber terbuka seperti TruffleHog untuk mendeteksi kunci API aktif yang tertanam dalam kode atau repositori.
Sebagai catatan tambahan, laporan terpisah dari perusahaan keamanan Quokka terhadap 250.000 aplikasi seluler menemukan sekitar 35.000 kunci API Google tertanam dalam aplikasi, mempertegas luasnya paparan kredensial yang sebelumnya dianggap tidak berisiko.
Temuan ini menjadi pengingat bahwa perubahan arsitektur layanan dapat mengubah tingkat sensitivitas kredensial lama, sehingga audit keamanan berkala tetap menjadi praktik krusial dalam pengembangan perangkat lunak modern.
