Why were Google API keys historically considered safe to expose publicly?

Google designed many of its APIs — Maps, YouTube, Places — for client-side use, meaning keys were intentionally embedded in front-end code visible to anyone. The security model relied on usage restrictions like domain allowlists and referrer checks rather than key secrecy. For years, an exposed key was considered a configuration issue, not a critical vulnerability requiring immediate rotation.

What changed when Google introduced Gemini API keys?

Unlike legacy Google APIs, Gemini API keys function more like traditional secrets — exposing one can result in unauthorized charges to your billing account, model abuse, or quota exhaustion with no built-in domain restriction to save you. The shift means developers must now treat Gemini keys with the same discipline as AWS credentials or Stripe secret keys, storing them server-side and never in

How should developers securely manage API keys for AI services today?

Best practice is to store all AI API keys as environment variables on the server, never in version-controlled files or client bundles. Use a secrets manager, rotate keys regularly, and set spending limits at the provider level. Platforms like Mewayz — a 207-module business OS at $19/mo available at app.mewayz.com — handle API credential management within their infrastructure so teams aren't ma

What should I do if I have already accidentally exposed a Gemini API key?

Revoke the compromised key immediately through Google Cloud Console and generate a replacement before doing anything else. Audit your billing dashboard for unexpected usage spikes that could indicate the key was harvested. Then review your codebase, CI/CD environment variables, and any public repositories for other leaked credentials. Treat the incident as you would any exposed payment credential

Hacker News

คีย์ Google API ไม่ใช่ความลับ แต่แล้ว Gemini ก็เปลี่ยนกฎ

เรียนรู้ว่า Gemini เปลี่ยนกฎความปลอดภัยของคีย์ Google API อย่างไร สิ่งที่นักพัฒนาจำเป็นต้องรู้เกี่ยวกับการปกป้องคีย์ API ที่ครั้งหนึ่งเคยถือว่าปลอดภัยในการเปิดเผย

March 2, 2026 3 นาทีอ่าน

Mewayz Team

Editorial Team

Hacker News

เมื่อ "สาธารณะโดยการออกแบบ" กลายเป็นความรับผิดด้านความปลอดภัย

เป็นเวลาเกือบสองทศวรรษที่นักพัฒนาที่สร้างระบบนิเวศของ Google ได้เรียนรู้บทเรียนที่ละเอียดอ่อนแต่สำคัญ: คีย์ Google API ไม่ใช่ความลับจริงๆ หากคุณฝังคีย์ YouTube Data API ไว้ในไฟล์ JavaScript Google จะไม่ตื่นตระหนก หากคีย์ Maps API ของคุณแสดงในพื้นที่เก็บข้อมูล GitHub สาธารณะ การตอบสนองด้านความปลอดภัยก็เป็นเพียงการยักไหล่และเป็นเครื่องเตือนใจให้ตั้งข้อจำกัดของโดเมน โมเดลทั้งหมดสร้างขึ้นบนสมมติฐานที่ว่าคีย์เหล่านี้จะอยู่ในโค้ดฝั่งไคลเอ็นต์ ซึ่งเปิดเผยต่อใครก็ตามที่เปิด DevTools

ปรัชญานั้นสมเหตุสมผลมาเป็นเวลานาน คีย์ Maps API ที่เปิดเผยโดยไม่มีข้อจำกัดด้านโดเมนอาจทำให้เกิดค่าใช้จ่ายที่ไม่คาดคิด แต่จะไม่กระทบต่อบันทึกของผู้ป่วยหรือทำให้บัญชีธนาคารหมด รัศมีการระเบิดนั้นทางการเงินและจัดการได้ เครื่องมือของ Google — ข้อจำกัดผู้อ้างอิง, รายชื่อ IP ที่อนุญาตพิเศษ, ขีดจำกัดโควต้า — ได้รับการออกแบบมาเพื่อป้องกันความเสียหาย ไม่ใช่ป้องกันการเปิดเผยทั้งหมด

จากนั้นราศีเมถุนก็มาถึง และกฎเกณฑ์ก็เปลี่ยนไป ปัญหาคือนักพัฒนาหลายล้านคนยังไม่ได้รับบันทึกช่วยจำ

โมเดลทางจิตแบบเดิมที่กำลังทำให้นักพัฒนาถูกเผาไหม้

ประสบการณ์นักพัฒนาซอฟต์แวร์ Google แบบเก่านั้นจงใจอนุญาต เมื่อคุณสร้างคีย์ Maps JavaScript API เอกสารจะช่วยให้คุณวางคีย์ลงใน HTML โดยตรง รูปแบบการรักษาความปลอดภัยไม่ได้เป็นความลับ แต่เป็นข้อจำกัด คุณจะต้องล็อคกุญแจไว้ที่โดเมนของคุณ ตั้งค่าการแจ้งเตือนโควต้า และเดินหน้าต่อไป นี่เป็นวิศวกรรมเชิงปฏิบัติ: แอปพลิเคชันฝั่งไคลเอ็นต์ไม่สามารถเก็บความลับจากผู้ใช้ที่กำหนดได้อย่างแท้จริง ดังนั้น Google จึงสร้างระบบที่ยอมรับความเป็นจริงนั้น

สิ่งนี้สร้างนักพัฒนารุ่นหนึ่ง - และที่สำคัญกว่านั้นคือรุ่นของนิสัยในสถาบัน - โดยที่คีย์ Google API ครอบครองหมวดหมู่จิตที่แตกต่างจากคีย์ลับ Stripe หรือข้อมูลรับรองการเข้าถึง AWS คุณจะไม่วางรหัสลับ Stripe ของคุณลงใน repo สาธารณะ แต่คีย์ Maps ของคุณล่ะ? นั่นเป็นค่ากำหนดจริงๆ ไม่ใช่ความลับ หลายทีมจัดเก็บไว้ในไฟล์กำหนดค่าที่เปิดเผยต่อสาธารณะ ไฟล์ README แม้แต่ในตัวแปรสภาพแวดล้อมฝั่งไคลเอ็นต์ที่ขึ้นต้นด้วย NEXT_PUBLIC_ หรือ REACT_APP_ โดยไม่ต้องคิดใหม่

นักวิจัยด้านความปลอดภัยสแกน GitHub เพื่อหาข้อมูลรับรองที่เปิดเผย ซึ่งเรียนรู้ที่จะปฏิบัติต่อคีย์ Google API ในลักษณะที่แตกต่างกันเช่นกัน คีย์ Maps ที่รั่วไหลคือการค้นพบที่มีความรุนแรงต่ำ คีย์ราศีเมถุนที่รั่วไหลออกมานั้นเป็นบทสนทนาที่แตกต่างไปจากเดิมอย่างสิ้นเชิง

สิ่งที่เปลี่ยนแปลงไปในราศีเมถุน — และเหตุใดจึงสำคัญ

Gemini API ของ Google ไม่เป็นไปตาม Playbook เก่า เมื่อคุณสร้างคีย์ Gemini API ผ่าน Google AI Studio คุณกำลังสร้างข้อมูลรับรองที่มีโปรไฟล์ความเสี่ยงโดยพื้นฐานแตกต่างจากคีย์ Maps หรือ YouTube Gemini Key ตรวจสอบสิทธิ์การเข้าถึงการอนุมานโมเดลภาษาขนาดใหญ่ ซึ่งเป็นบริการที่มีค่าใช้จ่ายทรัพยากรการคำนวณจริงของ Google และเรียกเก็บเงินจากคุณเป็นโทเค็น ไม่ใช่ตามจำนวนการดูหน้าเว็บ

💡 คุณรู้หรือไม่?

Mewayz ทดแทนเครื่องมือธุรกิจ 8+ รายการในแพลตฟอร์มเดียว

CRM · การออกใบแจ้งหนี้ · HR · โปรเจกต์ · การจอง · อีคอมเมิร์ซ · POS · การวิเคราะห์ แผนฟรีใช้ได้ตลอดไป

เริ่มฟรี →

ที่สำคัญกว่านั้นคือคีย์ Gemini API ไม่มีกลไกการจำกัดโดเมนในตัวแบบเดียวกับที่ทำให้การเปิดเผยคีย์ Google อื่นๆ ยังคงอยู่ได้ ไม่มีการควบคุมแบบ "ล็อกสิ่งนี้ไว้ที่โดเมนเว็บไซต์ของฉัน" ง่ายๆ ที่จะป้องกันไม่ให้ผู้โจมตีที่พบคีย์ของคุณในพื้นที่เก็บข้อมูลสาธารณะจากการปั่นแอปพลิเคชันของตนเองและใช้โควต้าของคุณ — หรือขีดจำกัดการเรียกเก็บเงินของคุณ — จากเซิร์ฟเวอร์ในประเทศอื่น

อันตรายไม่ใช่แค่เรื่องการเงินเท่านั้น คีย์ Gemini ที่ถูกเปิดเผยสามารถนำมาใช้เพื่อสร้างเนื้อหาที่เป็นอันตราย โจมตีแบบแทรกแซงทันที หรือสร้างเครื่องมือที่ละเมิดข้อกำหนดในการให้บริการของ Google ซึ่งทั้งหมดนี้จะถูกเรียกเก็บเงินไปยังบัญชีของคุณและสามารถตรวจสอบย้อนกลับไปยังข้อมูลระบุตัวตนของคุณได้

ในปี 2024 นักวิจัยด้านความปลอดภัยระบุคีย์ Gemini API ที่ถูกเปิดเผยหลายพันรายการบน GitHub เพียงอย่างเดียว โดยหลายคีย์อยู่ในที่เก็บข้อมูลซึ่งก่อนหน้านี้โฮสต์คีย์ Google API อื่นๆ โดยไม่มีเหตุการณ์ใดๆ นักพัฒนาไม่ได้ประมาทกับมาตรฐานในอดีตของตนเอง — พวกเขาใช้แบบจำลองทางจิตที่ Google เองได้ฝึกให้พวกเขาใช้ สภาพแวดล้อมเปลี่ยนแปลงเร็วกว่านิสัย

กายวิภาคของการสัมผัสโดยอุบัติเหตุ

การทำความเข้าใจว่าความเสี่ยงเหล่านี้เกิดขึ้นได้อย่างไรถือเป็นก้าวแรกในการป้องกันความเสี่ยงเหล่านี้

Q: คำถามแรก

A: คำตอบแรก
Q: คำถามที่สองคืออะไร

A: คำตอบที่สอง
Q: คำถามที่สามนี้เป็นคำถามที่สาม

A: คำตอบที่สาม
Q: คำถามสุดท้ายคืออะไร

A: คำตอบสุดท้าย

Frequently Asked Questions

Q: คีย์ Google API ไม่ใช่ความลับ แต่แล้ว Gemini ก็เปลี่ยนกฎอย่างไร

A: เป็นเวลาเกือบสองทศวรรษที่นักพัฒนาที่สร้างระบบนิเวศของ Google ได้เรียนรู้บทเรียนที่ละเอียดอ่อนแต่สำคัญ: คีย์ Google API ไม่ใช่ความลับจริงๆ หากคุณฝังคีย์ YouTube Data API ไว้ในไฟล์ JavaScript Google จะไม่ตื่นตระหนก หากคุณฝังคีย์ Maps API ของคุณไว้ในไฟล์ JavaScript Google ก็จะไม่ตื่นตระหนกเช่นกัน
Q: Gemini ก็เปลี่ยนกฎทั้งหมดนี้ได้หรือไหม

A: ได้ แต่ก็เปลี่ยนกฎทั้งหมดนี้ด้วยเหมือนกัน การเปลี่ยนแปลงกฎใหม่ของ Gemini ทำให้เกิดความไม่แน่นอนและความไม่แน่นอนนี้เป็นความท้าทายสำหรับทุกคน
Q: Gemini ก็เปลี่ยนแปลงกฎทั้งหมดนี้ได้หรือไหม

A: ได้ แต่ก็เปลี่ยนกฎทั้งหมดนี้ด้วยเหมือนกัน การเปล

ลองใช้ Mewayz ฟรี

แพลตฟอร์มแบบออล-อิน-วันสำหรับ CRM, การออกใบแจ้งหนี้, โครงการ, HR และอื่นๆ ไม่ต้องใช้บัตรเครดิต

เริ่มฟรี ลองเดโม

เริ่มจัดการธุรกิจของคุณอย่างชาญฉลาดวันนี้

เข้าร่วมธุรกิจ 6,203+ ราย แผนฟรีตลอดไป · ไม่ต้องใช้บัตรเครดิต

เริ่มฟรี → ชมการสาธิต

พบว่าสิ่งนี้มีประโยชน์หรือไม่? แบ่งปันมัน

X / Twitter LinkedIn Facebook WhatsApp

พร้อมนำไปปฏิบัติแล้วหรือยัง?

เข้าร่วมธุรกิจ 6,203+ รายที่ใช้ Mewayz แผนฟรีตลอดไป — ไม่ต้องใช้บัตรเครดิต

เริ่มต้นทดลองใช้ฟรี →

บทความที่เกี่ยวข้อง

Hacker News

中文 Literacy Speedrun II: ตัวละครไซโคลตรอน

Apr 17, 2026

Hacker News

เสาอากาศแบนด์วิธแห่งศตวรรษถูกคิดค้นขึ้นใหม่ ได้รับการจดสิทธิบัตรหลังจาก 18 ปีพร้อมแบนด์วิดท์ทศวรรษ (2549)

Apr 17, 2026

Hacker News

Big Tech เขียนความลับไว้ในกฎหมายของสหภาพยุโรปเพื่อซ่อนความเสียหายด้านสิ่งแวดล้อมของศูนย์ข้อมูลอย่างไร

Apr 17, 2026

Hacker News

ไวน์พอร์ต "เก่า" 150 ปีของ Rubens Menin

Apr 17, 2026

Hacker News

PROBoter – แพลตฟอร์มโอเพ่นซอร์สสำหรับการวิเคราะห์ PCB อัตโนมัติ

Apr 17, 2026

Hacker News

การสร้างเว็บเพจที่แก้ไขตัวเอง

Apr 17, 2026

พร้อมที่จะลงมือทำหรือยัง?

เริ่มต้นทดลองใช้ Mewayz ฟรีวันนี้

แพลตฟอร์มธุรกิจแบบครบวงจร ไม่ต้องใช้บัตรเครดิต

เริ่มฟรี →

ทดลองใช้ฟรี 14 วัน · ไม่ต้องใช้บัตรเครดิต · ยกเลิกได้ทุกเมื่อ

คีย์ Google API ไม่ใช่ความลับ แต่แล้ว Gemini ก็เปลี่ยนกฎ

Q: คำถามแรก

Q: คำถามที่สองคืออะไร

Q: คำถามที่สามนี้เป็นคำถามที่สาม

Q: คำถามสุดท้ายคืออะไร

Frequently Asked Questions

Q: คีย์ Google API ไม่ใช่ความลับ แต่แล้ว Gemini ก็เปลี่ยนกฎอย่างไร

Q: Gemini ก็เปลี่ยนกฎทั้งหมดนี้ได้หรือไหม

Q: Gemini ก็เปลี่ยนแปลงกฎทั้งหมดนี้ได้หรือไหม

ลองใช้ Mewayz ฟรี

เริ่มจัดการธุรกิจของคุณอย่างชาญฉลาดวันนี้

พร้อมนำไปปฏิบัติแล้วหรือยัง?

บทความที่เกี่ยวข้อง

เริ่มต้นทดลองใช้ Mewayz ฟรีวันนี้

ลอง Mewayz — แบบสด

เดี๋ยวก่อน - อย่าปล่อยให้มือเปล่า!

ตรวจสอบกล่องจดหมายของคุณ!

คีย์ Google API ไม่ใช่ความลับ แต่แล้ว Gemini ก็เปลี่ยนกฎ

Related Posts

Q: คำถามแรก

Q: คำถามที่สองคืออะไร

Q: คำถามที่สามนี้เป็นคำถามที่สาม

Q: คำถามสุดท้ายคืออะไร

Frequently Asked Questions

Q: คีย์ Google API ไม่ใช่ความลับ แต่แล้ว Gemini ก็เปลี่ยนกฎอย่างไร

Q: Gemini ก็เปลี่ยนกฎทั้งหมดนี้ได้หรือไหม

Q: Gemini ก็เปลี่ยนแปลงกฎทั้งหมดนี้ได้หรือไหม

ลองใช้ Mewayz ฟรี

เริ่มจัดการธุรกิจของคุณอย่างชาญฉลาดวันนี้

พร้อมนำไปปฏิบัติแล้วหรือยัง?

บทความที่เกี่ยวข้อง

เริ่มต้นทดลองใช้ Mewayz ฟรีวันนี้

เปลี่ยนภาษา

ติดต่อเรา

เดี๋ยวก่อน - อย่าปล่อยให้มือเปล่า!

ตรวจสอบกล่องจดหมายของคุณ!