研究发现,已删除的Google API密钥在删除后仍可继续工作长达23分钟,攻击者可能在此期间访问敏感数据和包括Gemini在内的服务。尽管Google最初以'不予修复'为由关闭了该报告,但随后将其重新分类为P0优先级漏洞。这种密钥撤销延迟在Google基础设施中传播时会产生重大安全风险。
背景
API密钥用于验证和授权对云服务和数据的访问,其即时撤销对安全至关重要。Google的基础设施采用最终一致性模型,这可能导致认证变更在全球网络中的传播延迟。
- 来源
- Lobsters
- 发布时间
- 2026年5月22日 12:13
- 评分
- 8.0 / 10