Slik beskytter du API-nøklene dine mot lekkasje
Google stengte nettopp ubegrensede Gemini-nøkler, og flere er på vei. Her er hva som skjer – og de fem grepene som holder nøklene, og lommeboken, din trygg.
I en stadig mer automatisert verden er API-nøkler limet som binder AI-tjenestene dine sammen. Men med den kraften følger ansvar. En API-nøkkel er i praksis et digitalt kredittkort: havner den i feil hender, kan resultatet bli oppbrukte kvoter og en uventet, stor regning.
Akkurat nå er temaet ekstra betimelig. Google har nemlig begynt å stramme kraftig inn på hvordan Gemini-nøkler kan brukes – og fristen for å rydde opp er allerede her.
Hvorfor API-nøkler er som kredittkort
Sammenligningen med et kredittkort er treffende, og den brukes også av Googles egen sikkerhetsblogg. Når du henter en nøkkel fra Google AI Studio, gir du systemene dine tilgang til kraftige modeller som Gemini. Blir den nøkkelen liggende åpent i et offentlig GitHub-repo eller i et delt notat, kan hvem som helst bruke din identitet og din lommebok til å kjøre AI-oppgaver.
At dette ikke er et teoretisk problem, ble understreket da sikkerhetsselskapet Truffle Security tidligere i år advarte om at tilsynelatende harmløse nøkler kan misbrukes til å generere femsifrede beløp i kostnader – ofte uten forvarsel.
Google strammer inn: dette skjer i 2026
Som svar på nettopp denne typen misbruk endrer Google nå hele modellen for Gemini-nøkler. Det er verdt å kjenne tidslinjen:
- 19. juni 2026: Gemini API sluttet å akseptere forespørsler fra ubegrensede standardnøkler. En nøkkel uten eksplisitte restriksjoner blir altså blokkert.
- September 2026: Gemini API avviser alle standardnøkler. Da må du ha migrert til den nye nøkkeltypen.
Den nye standarden kalles «auth keys». Alle nøkler du oppretter i AI Studio i dag, lages automatisk som auth keys. De er bundet til en Google Cloud-tjenestekonto og bærer en faktisk identitet – ikke bare en referanse for fakturering. Det er nettopp den identitetsbindingen som gjør dem tryggere.
Har du eldre nøkler i bruk, er fiksen rask: på API-nøkkelsiden i AI Studio holder du musen over en nøkkel merket «Unrestricted», velger «Add restrictions» og deretter «Restrict to Gemini API only». Det tar rundt 30 sekunder per nøkkel og gjenoppretter tilgangen umiddelbart. Det kjøper deg tid frem til september, men den varige løsningen er å gå over til auth keys.
Fem grep som holder nøklene trygge
Uavhengig av hvilken leverandør du bruker, hviler god nøkkelsikkerhet på de samme prinsippene:
- Bruk miljøvariabler. Hardkod aldri en API-nøkkel i skript eller notater som skal deles. Legg den i en
.env-fil, og legg.envi.gitignore. - Begrens nøkkelen. I Google Cloud Console kan du låse en nøkkel til bestemte tjenester, og til og med til spesifikke IP-adresser eller nettsteder. En nøkkel som bare virker for det den skal, er langt mindre verdt for en angriper.
- Roter jevnlig. Bytt ut nøkler med faste mellomrom. Da begrenser du skaden dersom en gammel nøkkel skulle ha lekket uten at du oppdaget det.
- Overvåk forbruket. Følg med på bruken i AI Studio og i Cloud Console, slik at unormal aktivitet fanges opp tidlig.
- Behandl nøkler som passord. Med auth keys er dette ikke lenger valgfritt finpuss. Lagring i en hemmelighets-vault og rotasjon er blitt grunnleggende hygiene.
Hva gjør du hvis nøkkelen lekker?
Mistenker du at en nøkkel er kompromittert, må du handle med en gang. Rådet er det samme som med et kredittkort du har mistet: gå til kilden – for eksempel Google AI Studio eller Cloud Console – og slett eller deaktiver nøkkelen først. Hos Google kan du angre en sletting i opptil 30 dager dersom det viste seg å være falsk alarm. Generer deretter en ny nøkkel og oppdater systemene dine. Det er alltid bedre å være føre var.
Oppsummering
Beskyttelse av API-nøkler er en fundamental del av moderne AI-utvikling, og listen er nettopp blitt høyere. Googles innstramming er aggressiv, men poenget under er riktig: «bare en API-nøkkel» holder ikke når tjenesten fakturerer per token, og en enkelt lekket nøkkel kan koste deg fem sifre over natten. Behandl nøklene med samme forsiktighet som dine private passord, så sikrer du både dataene og økonomien din.