(问题) 近年来,云服务与应用开发加速融合,API密钥成为连接各类线能力的“通行证”。然而,安全研究公司Truffle Security近日披露,一些原本被开发者视作“可公开使用”的谷歌云平台API密钥,可能在生成式服务接入后具备更高权限,从而被第三方利用读取项目数据或大量调用接口。研究人员称,他们对公开网页进行扫描后发现,存在2,863个仍处于活跃状态的对应的密钥暴露在互联网环境中,涉及金融机构、安全企业、全球招聘企业等多类组织,甚至包括服务提供方自身相关项目。 (原因) 从技术机制看,问题的核心并非单一“密钥泄露”,而是密钥角色发生变化后,开发者对风险认知与权限配置未能同步更新。长期以来,谷歌开发文档将以特定前缀开头的API密钥更多描述为计费识别工具,业内也形成了较为普遍的开发习惯:在网页端调用地图、视频等服务时,将密钥写入前端代码以便完成请求与计费。研究人员指出,随着生成式语言接口等新服务在2023年底前后推出,同一类密钥在部分场景下被用于新能力的访问控制。如果开发者在同一云项目中先部署了“低敏感度”功能,后续又添加生成式能力,而仍沿用原先公开的密钥并未做权限隔离,那么该密钥可能不再只是“计费标签”,而在实际效果上成为生成式服务的凭据。 该变化之所以容易被放大,是因为前端公开密钥在传统Web开发中相对常见,而生成式服务的调用形态与数据价值更高:项目方可能上传文件、构建数据集、保存对话上下文或缓存内容,一旦访问边界未被严格限制,外部人员只需从网页源码中提取密钥,即可能对相关资源发起查询或指令请求。研究人员强调,风险并不止于数据读取,还可能被用于消耗调用Token,造成配额被打满甚至形成高额费用。 (影响) 从直接后果看,事件可能带来三上风险:其一,数据资产暴露。生成式服务常与知识库、文档、内部流程信息绑定,一旦密钥可被滥用,项目中的文件、缓存内容或其他私有资源可能被间接获取。其二,财务与业务连续性风险。攻击者通过密钥高频调用接口,可能造成费用激增、配额耗尽,进而影响正常业务。此前业内也曾发生过因密钥在代码托管平台暴露而遭重复调用、最终产生高额账单的案例,尽管个案处置方式不同,但足以说明“密钥可复用、调用可计费”的机制在缺少限制时会迅速演变为成本风险。其三,信任与合规压力上升。云服务供应商与企业用户之间的责任边界、告知义务、默认安全策略是否充分等问题,都会在类似事件中被放大,进而影响客户对平台安全治理的预期。 (对策) 研究人员建议,网站管理员和项目负责人应立即开展自查与整改:一是登录云控制台梳理密钥用途与权限范围,重点核验是否允许调用生成式语言等高敏感度接口;二是排查未受限制的密钥,对已公开的密钥进行轮换或重新生成,并设置合理宽限期,避免下游应用因缓存旧密钥导致服务中断;三是强化密钥最小权限原则与环境隔离,将前端可见的调用尽量替换为后端代理方式,避免将具备高权限的凭据暴露在客户端;四是完善监控与告警,对异常调用量、异常地域来源或非预期的接口消耗及时触发处置。对企业用户来说,还应将密钥治理纳入日常配置管理与安全审计,形成“生成—使用—轮换—回收”的闭环流程。 据披露,相关问题已在去年11月向服务提供方报告。随后,服务提供方在获知大量暴露密钥后,对其访问生成式接口的能力采取限制措施,并继续推进更全面的修复。研究机构表示,后续路线图显示,部分新渠道创建的密钥将默认仅限生成式服务使用,同时平台将尝试拦截已泄露密钥并向客户发出通知。业内人士指出,上述方向有助于降低误用概率,但更关键的是对存量密钥的追溯审计与风险告知,这在大型平台上实施难度较高,却是提升整体安全韧性的必要环节。 (前景) 从更宏观的趋势看,云服务在叠加生成式能力后,传统“通用密钥+前端直连”的便捷模式正在面临重塑:密钥不再只是“调用入口”,而可能与数据空间、模型能力、计费体系深度耦合。未来,平台方需要通过更清晰的默认策略、更显性的变更通知、更严格的权限分层与更自动化的泄露检测,降低开发者因历史惯性而产生的配置偏差;企业用户也需提升“凭据即边界”的安全意识,把生成式应用纳入与核心系统同等级别的访问控制和审计体系之中。随着监管与合规要求不断细化,围绕密钥管理、数据访问和费用控制的制度化治理预计将成为云上应用的基础配置。
这个事件揭示了云计算快速发展中的典型问题:当平台功能扩展而安全告知滞后时,开发者往往被动承担风险。技术迭代必须配合同步的安全沟通,这既是平台责任,也是数字生态健康发展的基础。定期检查API密钥权限应成为开发者的常规安全实践,而非事后补救措施。