Säkerhetsforskaren Alvin Ferdiansyah upptäckte att Googles referensimplementation för ephemeral tokens i Gemini Live API saknade fältet live connect constraints, vilket gör det möjligt för angripare att kapa AI röstse... Åtgärden är att populera live connect constraints.bidi generate content setup under token skapan...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the Gemini Live API flaw discovered by Alvin Ferdiansyah, how does it allow attackers to. Article summary: ## The Vulnerability. Topic tags: general, documentation, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
I slutet av juni 2026 publicerade säkerhetsforskaren Alvin Ferdiansyah en detaljerad genomgång av vad han beskrev som en kritisk felkonfiguration i Googles system för ephemeral-tokens i Gemini Live API. Sårbarheten, om den bekräftas, gör det möjligt för en angripare som kommer över en kortlivad WebSocket-token att kapa en AI-röstsession i webbläsaren – och därmed kontrollera modellen, systemprompten och till och med de verktyg sessionen får använda.
Kärnan i sårbarheten är ett saknat säkerhetsfält när token skapas. Här är vad vi vet, vad som fortfarande är obekräftat och hur utvecklare kan skydda sina applikationer redan nu.
Gemini Live API stöder WebSocket-anslutningar från webbläsare till server med hjälp av ephemeral-tokens – kortlivade autentiseringstoken som snabbt löper ut och kan begränsas till specifik användning . Dessa token skapas av en backend-server och skickas sedan till klienten, som använder dem för att ansluta direkt till Gemini API utan att exponera den underliggande API-nyckeln.
I Googles dokumentation förklaras att ephemeral-tokens är utformade för implementationer där klienten ansluter direkt till servern och säkerhet är en prioritering. Även om token extraheras från en webbläsare begränsar den korta livslängden skadan . Slutpunkten för dessa begränsade anslutningar är
BidiGenerateContentConstrained, som accepterar den ephemerala token som en access_token-parameter i URL:en .
live_connect_constraintsEnligt Ferdiansyahs analys utelämnade referensimplementationen för att skapa token fältet live_connect_constraints . Detta fält är tänkt att innehålla ett
bidi_generate_content_setup-objekt som binder token till en specifik modell, systeminstruktion och uppsättning verktyg.
När live_connect_constraints lämnas tomt eller helt enkelt utelämnas, tillämpas inga begränsningar. En angripare som får tag på den ephemerala token kan då skicka en klientstyrd setup-frame med valfri modell, systemprompt och verktyg. Eftersom servern saknar token-bundna värden att validera mot, accepterar den angriparens konfiguration.
Viktigt förbehåll: De tillhandahållna källorna innehåller ingen officiell Googledokumentation för
live_connect_constraints, ingen CVE och ingen Googles säkerhetsadvisory som bekräftar detta beteende. Påståendet kommer från Ferdiansyahs Medium-inlägg och bör behandlas som overifierat men trovärdigt.
Om sårbarheten är verklig är konsekvenserna betydande för alla applikationer som använder Gemini Live API i en webbläsarkontext:
Utvecklare i Googles AI-forum har rapporterat problem med att ephemeral-tokens ignorerar systeminstruktioner och inte fungerar som förväntat med begränsade endpoints, vilket tyder på att det bredare ekosystemet fortfarande mognar .
Den åtgärd som Ferdiansyah beskriver är enkel: populera fältet live_connect_constraints.bidi_generate_content_setup
model – Den exakta Gemini-modell som ska användas (t.ex. models/gemini-2.5-flash-native-audio-latest).system_instruction – Den avsedda systemprompten, strukturerad som parts som innehåller text.tools – En tom array [] eller endast explicit tillåtna verktyg, för att förhindra injektion från klientsidan.Här är den illustrativa Python-koden från Ferdiansyahs inlägg :
token = gemini_client.auth_tokens.create({
"uses": 1,
"expire_time": now + timedelta(seconds=60),
"new_session_expire_time": now + timedelta(seconds=60),
"live_connect_constraints": {
"bidi_generate_content_setup": {
"model": "models/gemini-2.5-flash-native-audio-latest",
"system_instruction": {
"parts": [{"text": "Du är en kundsupportassistent..."}]
},
"tools": []
}
}
})Obs: Eftersom
live_connect_constraintsinte dokumenteras i den officiella Google API-referensen som ingår i källorna, är detta exempel baserat på Ferdiansyahs egen beskrivning och bör testas mot det faktiska API:et före användning i produktion.
Följande viktiga punkter är fortfarande overifierade enligt de tillhandahållna källorna:
live_connect_constraints.BidiGenerateContentConstrained när den tar emot en obegränsad token dokumenteras inte i de medföljande officiella referenserna Tills Google publicerar en officiell rekommendation är det säkraste tillvägagångssättet att behandla sårbarheten som trolig och tillämpa åtgärden proaktivt:
live_connect_constraints eller motsvarande fält.newSessionExpireTime på cirka 60 sekunder för att begränsa tidsfönstret för token-stöld Gemini Live API är ett kraftfullt verktyg för att bygga realtidsupplevelser med röst och video. Ett enda saknat fält i token-skapandeprocessen bör inte underminera den förmågan – men utvecklare måste se till att deras implementationer är kompletta.
Denna artikel har faktagranskats mot 27 tillhandahållna källor, inklusive officiell Googledokumentation, diskussioner i community-forum och den ursprungliga forskarens inlägg. Viktiga påståenden från forskaren kunde inte oberoende verifieras från officiella källor vid publiceringstillfället.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Säkerhetsforskaren Alvin Ferdiansyah upptäckte att Googles referensimplementation för ephemeral tokens i Gemini Live API saknade fältet live connect constraints, vilket gör det möjligt för angripare att kapa AI röstse...
Säkerhetsforskaren Alvin Ferdiansyah upptäckte att Googles referensimplementation för ephemeral tokens i Gemini Live API saknade fältet live connect constraints, vilket gör det möjligt för angripare att kapa AI röstse... Åtgärden är att populera live connect constraints.bidi generate content setup under token skapandet med avsedd modell, systeminstruktion och en tom eller begränsad verktygslista.
Sårbarheten är ännu inte officiellt bekräftad av Google – ingen CVE eller säkerhetsadvisory har publicerats – men utvecklare bör agera proaktivt.