Google меняет правила работы с ключами Gemini API и подталкивает разработчиков к более строгой защите

Google меняет способ доступа к Gemini API: вместо обычных API-ключей вводятся authorization keys. Это означает, что прежние практики безопасности придется пересмотреть. Раньше стандартные ключи просто привязывали запросы к проекту Cloud и использовались для учета квот и биллинга. Authorization keys работают иначе: они связаны с сервисным аккаунтом Google Cloud и по умолчанию ограничены Generative Language API. Как сообщает Towards AI, с 19 июня 2026 года Gemini API начал отклонять запросы, отправленные с неограниченных стандартных ключей. При этом ключи, для которых заранее заданы ограничения, пока продолжают работать.
В документации Google сказано, что стандартные ключи нужно перенести на authorization keys до сентября 2026 года, иначе возможны перебои в работе сервисов. Отдельное предупреждение компания опубликовала на AI Developers Forum. Пользователям предлагают либо ограничить уже существующие ключи, либо создать новые ограниченные ключи через AI Studio. Для команд это повод проверить свои процессы: не опирается ли какой-то рабочий сценарий Gemini на неограниченный стандартный ключ, и заранее подготовить миграцию.
Причина ужесточения требований довольно практическая. В обсуждениях разработчиков описываются случаи злоупотреблений. Старые ключи Google API, которые когда-то создавались, например, для Maps или других клиентских приложений, после включения доступа к Gemini в проекте начинали использоваться злоумышленниками. Схема обычно повторяется. Ключ извлекают из кода, затем обращаются к AI-эндпоинту напрямую. Ограничения на уровне приложения в такой ситуации не помогают, потому что трафик проходит в обход него.
Учитывая высокую стоимость и потенциально большой объем запросов к AI-инференсу, такие ключи теперь рассматриваются как полноценные продакшен-секреты. Старый подход, когда «публичный» API-ключ использовали сразу в нескольких сервисах или оставляли в клиентских приложениях и прототипах, становится рискованным. Если доступ к Gemini окажется скомпрометирован, это может привести и к неожиданным расходам, и к сбоям в работе сервисов.
Ключевые факты
С 19 июня 2026 года Gemini API отклоняет запросы, отправленные с неограниченных standard API keys.
Standard API keys с явными ограничениями продолжают работать, но Google требует миграции на authorization keys до сентября 2026 года, чтобы избежать прерывания сервиса.
Authorization keys привязываются к сервисному аккаунту Google Cloud и по умолчанию ограничены использованием Generative Language API.
Google рекомендовала разработчикам ограничить существующие ключи или создать новые restricted keys через AI Studio.