Sai quando Google ti dice: “Tratta questa roba come se fosse pubblica” e poi, dopo anni, ti fa: “Ah, scusa, ora è super-segreta”? Bene, eccoci qui. Le API keys di Google, quelle che per un decennio potevi sbattere ovunque come fossero numeri di telefono di un call center, ora sono diventate chiavi magiche per accedere a Gemini. E il bello è che nessuno ha avvertito nessuno.
La situazione è questa: Google ha sempre sostenuto che le API keys (quelle tipo “AIza…” usate per Maps, Firebase e compagnia bella) non fossero segreti. Anzi, i loro stessi documenti consigliavano di metterle pure nel codice JavaScript, come se fossero inviti a una festa aperta a tutti. “Niente panico, sono solo per la fatturazione”, dicevano. E invece, con l’arrivo di Gemini, quelle stesse chiavi sono diventate biglietti d’oro per accedere a dati sensibili, file caricati e, naturalmente, per farti pagare il conto dell’AI.
Ecco il problema: Google usa lo stesso formato di chiave per due cose completamente diverse. Da una parte, identificare progetti pubblici (tipo Maps sul tuo sito). Dall’altra, autenticare accessi a servizi sensibili (tipo Gemini). E quando hai abilitato Gemini su un progetto, tutte le chiavi esistenti – anche quelle che erano lì da anni nel tuo codice – diventano automaticamente credenziali per accedere a Gemini. Senza preavviso. Senza email. Senza nemmeno un “Ah, a proposito…”.
Per noi smanettoni, maker e hacker che amiamo metter le mani in pasta, questo è un problema grosso. Immagina di aver creato un sito con una mappa interattiva tre anni fa, seguendo le istruzioni di Google. Ora, senza aver fatto nulla di male, la tua chiave è diventata una porta aperta per chiunque voglia giocare con i tuoi dati Gemini. E il peggio? Non c’è nemmeno un allarme che ti avvisa del cambiamento.
La mia opinione? Google ha fatto un bel casino. Da una parte, hanno spinto per anni una pratica che consideravano sicura. Dall’altra, hanno introdotto un servizio nuovo (Gemini) senza pensare alle conseguenze. E ora, migliaia di chiavi che erano pubbliche sono diventate credenziali sensibili. È un po’ come dare a tutti la chiave di casa tua e poi, dopo anni, dire: “Ah, scusa, ora questa chiave apre anche la cassaforte”.
Cosa possiamo fare noi? Primo, controllare tutte le API keys che abbiamo in giro. Secondo, limitare l’accesso alle API solo a quelle strettamente necessarie. E terzo, ricordarci che quando un’azienda ti dice “Non è un segreto”, forse è meglio non fidarsi troppo.
In sintesi: Google ha cambiato le regole del gioco senza avvisare, e ora tocca a noi ripulire. Ma almeno abbiamo imparato una lezione preziosa: quando si tratta di sicurezza, meglio essere paranoici che disattenti.
Source: Google API keys weren't secrets, but then Gemini changed the rules