安全公司Aikido表示,他们的研究表明,删除Google API 密钥后,在长达 23 分钟的时间窗口里,Google基础设施中仍可能发生成功的身份验证。
在这段时间内,攻击者如果手里有泄露的密钥,仍可继续访问已启用的 API(包括 Gemini)。
Google将我们的报告驳回,并表示“won’t fix(不予修复)。
在每次试验中,我们先创建一个 API 密钥并将其删除,然后以每秒 3 到 5 次的速率持续发送带身份验证的请求,直到数分钟内都收不到任何有效响应。
为了更全面,我们在几周后又检查了一遍,确认当时观察到的现象并不是由于临时网络问题造成的。
撤销窗口是在指你删除密钥之后,直到最后一次成功身份验证发生之间的这段时间。
如果这个时间窗口只有几微秒,那么其表现就符合用户的预期;但如果窗口更长,攻击者每多获得一秒,就能有更多时间来滥用被盗的密钥。
