With PerfectScale™ for Commitments, we're bringing rate optimization to every cloud
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

A correção para o abuso de API Keys do Gemini chegou — e tem prazo

By John D'EliaJun 17, 20265 min read

Esta página também está disponível em English, Deutsch, Español, Français, Italiano e 日本語.

TL;DR

  • O Google está descontinuando as API keys padrão do Gemini API em duas etapas: as chaves padrão sem restrições deixam de funcionar em 19/06/2026; todas as chaves padrão deixam de funcionar em setembro de 2026
  • Se você tem chaves sem restrição, sobra pouco tempo para restringi-las ou migrar para o novo tipo de auth key
  • As novas "authorization keys" ficam vinculadas a uma service account, o que neutraliza o vetor de abuso de chaves que abordei em um post anterior
  • Rode nosso scanner gratuito para encontrar suas chaves expostas: github.com/doitintl/gcp-apikey-check

Um pouco de histórico

Há algumas semanas, escrevi sobre como agentes maliciosos vinham obtendo chaves de API do Google sem escopo e sem restrição em páginas web ou em chaves publicadas acidentalmente. Assim que conseguiam a chave, esses agentes geravam conteúdo no Gemini em massa e sumiam, deixando o dono desavisado da chave com uma fatura altíssima do Gemini — normalmente na casa das dezenas de milhares de dólares, às vezes mais. Já vimos vários casos desses, e o subreddit googlecloud está cheio de histórias de terror.

Recentemente, o Google fez mudanças nas chaves de API do Gemini recém-criadas. Pelo jeito, o Google finalmente está agindo para fechar a brecha nas chaves já existentes, e isso vai afetar quem usa o Gemini API. As mudanças são boas, mas o cronograma é apertado!

O que está mudando

O Google está migrando o Gemini API de chaves padrão para chaves de autorização (auth keys).

As chaves padrão associam as requisições a um projeto do Google Cloud para fins de cobrança e cota, mas não identificam quem está fazendo a chamada. Sem identidade do chamador, os controles de acesso que dá para aplicar ficam limitados.

As auth keys ficam vinculadas a uma service account específica do Google Cloud. Requisições feitas com uma auth key são processadas sob a identidade dessa service account, o que viabiliza um controle de acesso adequado baseado em IAM. O Google informa que as auth keys também vão contar com detecção de fraude com resposta mais rápida.

O cronograma da migração:

  • 19 de junho de 2026: o Gemini API vai rejeitar requisições de chaves padrão sem restrição. Chaves padrão com restrições explícitas de API continuarão funcionando.
  • Setembro de 2026: o Gemini API vai rejeitar requisições de todas as chaves padrão. Até lá, você precisa estar usando auth keys.

Todas as chaves novas e criadas recentemente no Google AI Studio já são auth keys por padrão.

Como as Auth Keys ajudam?

Com uma chave padrão sem escopo de API, qualquer agente malicioso que a encontrasse podia testá-la no Gemini API e começar a gerar conteúdo cobrado na sua conta. Foi exatamente o ataque que descrevi no post anterior.

As auth keys fecham essa brecha de algumas formas. Por padrão, já vêm com escopo limitado ao Gemini API, então uma auth key vazada não pode ser usada em outras APIs do Google. Mais importante: estão atreladas a uma service account, o que permite aplicar controles de acesso via IAM — algo que não dava para fazer com as chaves padrão. As requisições feitas com uma auth key também aparecem nos audit logs, e a detecção de secrets vazados do Google consegue agir mais rápido, porque existe uma identidade para revogar.

Dito isso, as auth keys não são solução perfeita. Auth keys vazadas ou exfiltradas ainda podem, em tese, ser usadas para gerar conteúdo e inflar a fatura. Ainda não sabemos qual a real eficácia dos sistemas antifraude do Google nesses casos.

A melhor solução é não usar API keys, ponto. Se você usa o Gemini no backend, considere migrar para a Gemini Enterprise Agent Platform, que usa credenciais IAM de curta duração no lugar de chaves estáticas: nada para vazar, nada para rotacionar.

O que você deve fazer

Antes de 19/06/2026: proteja qualquer chave padrão sem restrição

Rode o scanner para encontrar suas chaves sem restrição em toda a sua organização no GCP:

Terminal window
git clone https://github.com/doitintl/gcp-apikey-check
cd gcp-apikey-check
uv sync


# Scan an entire organization (**recommended**)
uv run gcpkeyscan.py --org-id YOUR_ORG_ID


# Or a single project
uv run gcpkeyscan.py --project-id YOUR_PROJECT_ID

Para cada chave sem restrição que aparecer, você tem duas opções:

Opção 1 — Restringir a chave (ganha tempo até setembro): No Google AI Studio, vá até a página API Keys, encontre as chaves marcadas como "Unrestricted", passe o mouse sobre o rótulo, clique em "Add restrictions" e selecione "Restrict to Gemini API only."

Opção 2 — Migrar para uma auth key agora (recomendado):

  1. Acesse o AI Studio API Keys
  2. Clique em "Create API key" — as novas chaves já são auth keys por padrão
  3. Atualize o código da sua aplicação, as variáveis de ambiente e as configurações de deploy com a nova chave
  4. Teste, teste e teste de novo
  5. Apague ou revogue a chave padrão antiga

Consulte a documentação de migração do Google caso esbarre em algum problema.

Antes de setembro de 2026: migre todas as chaves padrão restantes

Qualquer chave padrão que você tenha restringido na primeira etapa vai parar de funcionar em setembro. Use os mesmos passos acima para criar as auth keys substitutas e atualizar suas aplicações.

O quadro maior

Migrar para auth keys é uma melhoria, mas a boa prática de fundo continua a mesma.

Para a maioria dos workloads no Google Cloud: Workload Identity Federation e Application Default Credentials com roles do IAM são opções melhores — sem chave para vazar, sem rotação para gerenciar e com trilhas de auditoria adequadas por padrão. Se você usa o Gemini API em produção, recomendamos migrar para a Gemini Enterprise Agent Platform, que utiliza credenciais de curta duração no lugar de API keys estáticas, além de oferecer outros recursos úteis para produção, como suporte do fornecedor.

Para aplicações de Maps e Firebase: essas chaves continuam sendo API keys padrão, mas vale seguir as boas práticas — restrinja cada chave às APIs específicas de que ela precisa, adicione restrições por aplicação e nunca coloque chaves de Maps ou Firebase na mesma chave usada pelo Gemini ou por outras APIs de IA. Se der, mantenha as chaves do Gemini em um projeto separado, por garantia.

Próximos passos

O prazo de 19 de junho está aí. Se você ainda não auditou suas chaves, faça isso agora: