一个 API 密钥,48 小时,让一个三人小创业公司濒临破产。这不是段子,是发生在谷歌 Gemini 开发者身上的真实悲剧。

团队创始人 RatonVaquero 在 Reddit 发帖求助,称其 Gemini API 密钥被盗用,48 小时内产生 82314.44 美元 (约 56.8 万元人民币)的天价账单,而他们正常月费仅 180 美元,暴涨 455 倍。

原因很简单: 密钥不小心泄露到公网,被黑产脚本批量抓取并疯狂滥用 。更让团队绝望的是,向谷歌申请撤销费用被直接驳回。平台给出的理由很明确: 密钥安全责任在用户,被盗产生的费用必须由用户买单

目前团队已彻底关停相关服务、轮换所有凭证,并开启更严格的权限管控,但面对这笔远超承受能力的费用,几乎走投无路。

打开网易新闻 查看精彩图片

业内安全报告显示,大量前端公开的谷歌 API 密钥(常用于地图等服务),在项目启用 Gemini 后会 自动获得 AI 调用权限 ,且无任何提示,等于把“金库密码”公开贴在网上。加上谷歌云不强制设置消费上限,异常流量无法自动切断,风险被无限放大。

这起事件已经在全球开发者圈引发热议,无数人开始紧急检查自己的密钥与配额。对小团队而言,一次疏忽,可能就是创业终点。

PS:就这事,大家觉得哪方的锅更大?