O Problema do Controle de IA

Quando Habilitar IA Mudou as Regras: O Padrão de Escalação de Credenciais

TV
Thiago Victorino
9 min de leitura
Quando Habilitar IA Mudou as Regras: O Padrão de Escalação de Credenciais

Por mais de doze anos, o Google disse aos desenvolvedores que chaves de API não são segredos. A orientação era explícita: podem ser embutidas em código client-side, compartilhadas em repositórios públicos, usadas em aplicações mobile sem ofuscação. A documentação reforçava que essas chaves servem apenas para identificar o projeto, não para autenticar o usuário.

Milhões de desenvolvedores seguiram essa orientação. E então, silenciosamente, o Google mudou as regras.

O Que Aconteceu

Quando a Generative Language API foi habilitada em um projeto do Google Cloud Platform, as chaves de API existentes daquele projeto ganharam automaticamente a capacidade de autenticar chamadas ao Gemini. Sem notificação. Sem consentimento. Sem qualquer alteração visível no painel de controle.

A Truffle Security, empresa especializada em detecção de segredos expostos, descobriu o padrão e reportou ao Google em 25 de novembro de 2025. A resposta inicial classificou o comportamento como “intencional”. Em 2 de dezembro, a classificação mudou para bug. Em 13 de janeiro de 2026, o programa de bug bounty do Google reclassificou novamente como “Single-Service Privilege Escalation, READ”, categoria Tier 1.

Na data de publicação, a correção raiz ainda estava em progresso dentro da janela de 90 dias de divulgação responsável (encerramento em 25 de fevereiro de 2026).

2.863 Chaves Vivas

A Truffle Security escaneou a internet pública e encontrou 2.863 chaves de API do Google (formato AIza...) expostas e válidas com acesso ao Gemini. Repositórios no GitHub, aplicações mobile descompiladas, posts em fóruns, snippets em Stack Overflow. Todas seguindo a orientação oficial de que chaves de API não precisam de proteção.

Cada uma dessas chaves pode, potencialmente, autenticar chamadas ao Gemini para leitura. Injeção de prompts, exfiltração de contexto, consumo de cota, acesso a dados de treinamento fine-tuned. O raio de alcance depende da configuração específica do projeto.

É importante calibrar a escala. A API precisa ser explicitamente habilitada no projeto GCP para que a escalação ocorra. Não basta ter uma chave. É necessário que alguém, em algum momento, tenha ativado o serviço de IA generativa naquele projeto. E até agora, não há evidência pública de exploração real dessas chaves. O risco é concreto, mas teórico.

O Padrão, Não o Incidente

O caso Google/Gemini é instrutivo não pelo incidente em si, mas pelo padrão que revela. Quando uma organização habilita um serviço de IA em infraestrutura existente, as premissas de segurança anteriores podem mudar retroativamente.

Credenciais que eram seguras tornam-se vetores de ataque. Permissões que eram inofensivas ganham novas capacidades. Superfícies que eram auditadas precisam ser reauditadas. E nenhum alerta é disparado.

Esse padrão não é exclusivo do Google. Qualquer plataforma que usa um formato único de credencial (onde a mesma chave serve múltiplos serviços) está sujeita ao mesmo problema. A adição de um novo serviço ao escopo de uma credencial existente é, por definição, uma escalação de privilégio. Quando esse novo serviço é um modelo de IA generativa, o impacto muda de categoria.

Como exploramos em Seu Provedor de IA É um Risco na Cadeia de Suprimentos, a cadeia de dependências de IA estende o perímetro de segurança para além do que a maioria das organizações monitora. O caso Gemini adiciona uma dimensão: não é apenas o provedor que introduz risco. É o ato de habilitar o serviço que transforma a postura de segurança existente.

Habilitar IA É um Evento de Segurança

A lição central é simples de enunciar e difícil de internalizar: ativar um serviço de IA em infraestrutura existente não é apenas um deploy de funcionalidade. É um evento de segurança que exige reavaliação de premissas.

Considere a sequência. Uma equipe de engenharia tem um projeto GCP com chaves de API distribuídas em aplicações client-side, mobile e serverless. As chaves estão em repositórios, em variáveis de ambiente, em configurações de CI/CD. Tudo dentro do modelo de ameaça aceito, porque chaves de API “não são segredos”.

Então, alguém da equipe de produto habilita a Generative Language API para testar uma integração com o Gemini. Nenhum processo de segurança é acionado porque “é só habilitar uma API”. Nenhuma revisão de credenciais é feita porque nenhuma credencial foi criada. Nenhuma chave nova foi gerada.

Mas toda chave existente ganhou uma nova capacidade. O modelo de ameaça mudou. E ninguém percebeu.

Na semana anterior, documentamos como injeção de prompt se tornou arma na cadeia de suprimentos, onde texto puro comprometeu um pipeline inteiro de CI/CD. O padrão Gemini é diferente no vetor, mas idêntico na causa raiz: a presença de IA amplia a superfície de ataque de infraestrutura que já existia. E a organização só descobre quando alguém de fora aponta.

A Resposta do Google e o Que Ela Revela

A cronologia de classificação do Google é reveladora. Em três meses, o mesmo comportamento foi categorizado como intencional, como bug e como vulnerabilidade de segurança. Essa oscilação sugere que mesmo dentro do Google, a relação entre serviços de IA e modelo de credenciais existente não estava clara.

Se o Google, que construiu tanto a infraestrutura de credenciais quanto o serviço de IA, levou semanas para decidir se o comportamento era esperado ou não, qual é a probabilidade de que organizações menores tenham clareza sobre como a habilitação de IA afeta suas credenciais?

A mitigação direta é conhecida e relativamente simples: restringir o escopo de cada chave de API para os serviços específicos que ela precisa acessar. É o princípio de menor privilégio aplicado a credenciais de API. Deveria ser prática padrão. Na maioria das organizações, não é.

Três Ações Práticas

Se sua organização usa Google Cloud (ou qualquer plataforma com credenciais de escopo compartilhado), três verificações são imediatas.

Audite chaves de API existentes antes de habilitar serviços de IA. Antes de ativar qualquer API de IA generativa em um projeto, mapeie todas as chaves de API ativas, onde estão distribuídas e quais serviços podem acessar. A habilitação de IA muda retroativamente o perfil de risco dessas chaves.

Restrinja escopos de credenciais como prática padrão. Toda chave de API deveria ter restrição de serviço, de IP de origem e de referrer. Isso não é apenas higiene de segurança para IA. É higiene de segurança que a IA tornou urgente.

Trate habilitação de serviços de IA como mudança de infraestrutura. Ativar uma API de IA em um projeto existente deveria passar pelo mesmo processo de revisão que adicionar um novo endpoint público ou conceder acesso a um banco de dados. Não é um feature flag. É uma mudança no modelo de ameaça.

O Interesse Comercial e a Verificação Cruzada

Uma nota sobre fontes. A Truffle Security fabrica e vende o TruffleHog, ferramenta de detecção de segredos expostos em código. Reportar vulnerabilidades relacionadas a credenciais expostas serve diretamente ao interesse comercial da empresa. Isso não invalida a descoberta, mas contextualiza a motivação.

O fator determinante: o Google confirmou o problema. Reclassificou o comportamento. Abriu um bug interno. Comprometeu-se com uma correção dentro da janela de divulgação responsável. A verificação cruzada entre quem reporta (com interesse comercial) e quem confirma (com controle da plataforma) é o que transforma o relato em fato.

O Que Fica

Habilitar IA não é instalar um software novo. É alterar as propriedades de segurança do software que já existe. Credenciais que eram inertes ganham capacidades. Superfícies que eram auditadas precisam ser reauditadas. Modelos de ameaça que eram aceitos precisam ser revisados.

A pergunta operacional para qualquer organização que está adotando IA não é apenas “quais controles aplicar ao novo serviço?”. É “como o novo serviço mudou o que já tínhamos?”.

Enquanto essa pergunta não fizer parte do checklist de habilitação, cada ativação de IA será um evento de segurança não auditado. E os 2.863 chaves na internet pública demonstram o que acontece quando eventos de segurança passam despercebidos por doze anos.

Fontes

  • Truffle Security. “Leaking Google API Keys Opens Door to Gemini.” Fevereiro 2026. Relatório técnico sobre escalação silenciosa de privilégio em chaves de API do Google.
  • Google Bug Bounty. Reclassificação de “comportamento intencional” (25/nov/2025) para “Single-Service Privilege Escalation, READ” Tier 1 (13/jan/2026). Correção em progresso.
  • Google Cloud. Documentação de práticas de restrição de chaves de API. Orientação atualizada sobre escopo de credenciais.

Na Victorino Group, ajudamos organizações a reavaliar premissas de segurança antes que a habilitação de IA as torne obsoletas: contato@victorino.com.br | www.victorino.com.br

Parte do The Thinking Wire, publicado por Victorino Group.

Se isso faz sentido, vamos conversar

Ajudamos empresas a implementar IA sem perder o controle.

Agendar uma Conversa