文章总结： 网络安全公司AikidoSecurity研究发现，被删除的谷歌API密钥在删除后平均16分钟、最长23分钟内仍可有效认证，因谷歌身份验证基础设施采用最终一致性模型导致撤销延迟。在此期间，威胁者可利用泄露密钥访问项目API、窃取数据。谷歌认为此延迟是系统已知属性而非漏洞，建议将API密钥删除视为30分钟操作并在此期间监控认证。 综合评分： 83 文章分类： 云安全,漏洞分析,应急响应,数据安全

研究发现，已删除的Google API密钥可保持有效时间长达23分钟

HackSee安全团队 HackSee安全团队

HackSee安全生活

2026年5月25日 16:49 北京

在小说阅读器读本章

去阅读

网络安全公司（Aikido Security）进行的一项新研究表明，被删除的谷歌API密钥仍然有效，并且可以在删除后的23分钟内继续成功进行身份验证。结果是在两天内进行了10次对照试验以测量延迟后得到的。

重要发现

API密钥是一串数据，用于验证软件应用程序之间的请求。根据研究人员的说法，谷歌云平台（GCP）控制台显示密钥已被立即删除。然而，测试表明，这些按键实际上平均需要16分钟才能完全停止工作，最长的延迟时间接近23分钟。

在此期间，持有泄漏密钥的威胁参与者保留对项目上任何已启用api的完全访问权。这使得他们可以窃取缓存的对话并转储上传到双子座的文件。他们还可以访问BigQuery数据和Maps api。

为什么会出现这个问题？

在今天发布并与Hackread.com独家分享的博客文章中，研究人员解释说，这个问题的发生是因为谷歌身份验证基础设施的最终一致性。在这种分布式系统模型中，更新在全局服务器上逐渐传播，而不是一次全部传播。

这意味着当你删除一个密钥时，消息不会立即到达世界各地的每个谷歌服务器，这给了黑客一个暂时的空隙，可以在尚未更新的服务器上使用密钥。研究人员edward Agavriloae去年在AWS上演示了这类相同的基础设施问题，尽管AWS的撤销窗口只有4秒。

跟踪和基础设施差异

这种攻击方法依赖于黑客连续发送经过身份验证的请求，在同步之前通过谷歌的全球身份验证服务器进行旋转。对不同GCP区域的测试显示出不同的区域差异。在删除后的第一分钟，亚洲-东南亚1地区的虚拟机的成功率中值为22%，而美国-东部1和欧洲-西部1的请求成功率均为49%。

对于事件响应团队来说，在攻击期间跟踪事件的时间轴因GCP流量凭据图而变得复杂。当密钥被删除时，攻击者的任何进一步身份验证尝试都被捆绑到标记为。这使得很难确定攻击者试图滥用的具体凭证。

研究人员指出，谷歌已经解决了其他凭证类型的更快传播问题。例如，谷歌服务账户密钥大约在5秒内撤销，而较新的gemini格式密钥（使用aq前缀）大约需要1分钟。

Aikido Security向b谷歌报告了这些发现，但该公司以“不需要修复”的理由关闭了报告，并表示传播延迟是系统的已知属性，而不是安全漏洞。因此，研究人员建议将谷歌API密钥删除视为一个30分钟的操作，并在该窗口内监视GCP控制台的有效身份验证。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HackSee安全生活 HackSee安全团队 HackSee安全团队《研究发现，已删除的Google API密钥可保持有效时间长达23分钟》