AIPress.com.cn报道
3月4日消息,一名开发者近日在社交平台发文称,其公司因Google Gemini API密钥疑似被盗,在48小时内产生超过8.2万美元的未经授权费用,引发对API密钥安全与计费机制的讨论。
据当事人描述,其位于墨西哥的三人初创公司在2月11日至12日期间,Google Cloud API密钥被不明身份者滥用,主要用于调用Gemini 3 Pro Image与Gemini 3 Pro Text服务,总计产生82,314.44美元费用。该公司平时月均云服务支出约180美元,此次费用增幅超过46000%。
事发后,该团队删除了受影响密钥,停用Gemini API,轮换凭证,并向Google提交支持请求。但据其称,谷歌方面援引“共享责任模型”,表示平台负责基础设施安全,用户需自行保护密钥,相关费用仍需由客户承担。
事件并非孤例。安全公司Truffle Security近期扫描数百万网站,发现2,863个仍然有效的Google API密钥暴露在公开环境中。这些密钥原本作为项目标识符使用,如今在启用Gemini API后,可直接用于身份验证与计费调用。
研究人员指出,Google Cloud API密钥通常以“AIza”开头,格式易于识别。Google在Maps与Firebase等服务文档中曾说明API密钥并非机密信息,并建议开发者可直接嵌入HTML代码。然而,在Gemini接入后,这类公开标识符可能被赋予访问生成式AI接口的能力,从而带来数据访问与计费风险。
研究团队向谷歌提交报告后,谷歌最初将问题归类为“客户问题”,后重新定级为漏洞,并表示正在推进修复。截至2月初,研究方称尚未看到最终解决方案。
谷歌发言人回应称,公司已与研究人员合作处理问题,并采取主动措施检测和拦截泄露密钥访问Gemini API的行为。(AI普瑞斯编译)
