一名墨西哥軟體開發商因 Gemini API 密鑰遭竊,導致帳戶在兩日內產生逾 8.2 萬美元欠費,面臨破產危機。受害者指控 Google 缺乏異常用量攔截機制,目前已向 FBI 報案並尋求校減費用。
即刻【按此】,用 App 睇更多產品開箱影片
Gemini API 密鑰遭竊兩日狂刷 8 萬美元 苦主面臨破產促 Google 建立防護機制
人工智能(AI)技術應用普及,但相關的帳戶安全風險正威脅開發者的生計。近日一名 Reddit 用戶 RatonVaquero 表示,其軟體開發公司的 Google Gemini API 密鑰懷疑遭竊取,導致帳戶在短短 48 小時內產生高達 82,314.44 美元(約 64 萬港元)的欠費,令該公司面臨破產危機。
用量異常飆升 455 倍
據悉,該名受害開發者來自墨西哥一間僅有三人的初創企業,往常每月在 Gemini AI 服務的平均開支約為 180 美元。然而在上月,帳戶疑遭黑客入侵,大量生成 Gemini 3 Pro 的圖像及文字內容,導致費用在兩天內激增。受害者形容這次用量較平日飆升 455 倍,屬於「災難性的異常」。
事發後,該開發者已採取緊急措施,包括刪除受影響密鑰、停用 API、重設憑證、啟用雙重認證(2FA)以及鎖定身份與訪問管理(IAM)權限。同時,受害者已向美國聯邦調查局(FBI)提交網絡犯罪報告,並聯絡 Google 支援部門尋求豁免相關款項。
Google 援引「共同責任模型」拒讓步
初步消息顯示,Google 客戶服務代表傾向維持收費。Google 方面預計會援引雲端服務的「共同責任模型」(Shared Responsibility Model),強調客戶有責任建立身份驗證系統、訪問政策及網絡安全措施,以保護其 API 密鑰。
然而,開發者社群對此表示不滿。部分 Redditor 指出,Google 更改 API 密鑰保密規則可能是導致密鑰容易被竊的原因之一。受害者 RatonVaquero 批評,Google 缺乏應對極端用量異常的「基本防護欄」,例如在檢測到異常飆升時暫時凍結服務,或提供更直接的消費上限設置。
現行機制漏洞與建議
目前 Google 對於不同層級的用戶設有不同的限制機制:
個人/消費者用戶: 設有用量上限,不會產生超額費用。
Google AI Studio 用戶: 可設置配額(Quotas),限制每分鐘或每日的請求數。
Google Cloud (Vertex AI) 用戶: 僅能設置預算提醒(Budget Alerts),在達到特定金額時發出通知,而非即時截斷服務。
根據官方指南,Google Cloud 的 Gemini API 限制主要基於請求數(RPM)、Token 數量(TPM)及每日請求量。開發者需自行前往管理後台的「配額與系統限制」頁面申請修改限制。
規避超量配額
Google AI 回答建議開發者應實施最佳實踐(Best Practices)以規避風險,包括:
設置預警: 在 GCP 控制台設置使用率達 70% 至 80% 時發出警報。
實施頻率限制: 在應用程式端使用指數退避(Exponential Backoff)機制。
分散風險: 將流量分佈在不同區域(Region)以管理吞吐量。
受害者目前仍與 Google 進行交涉,希望能獲得「商譽補償金」(Goodwill Credits)以抵銷這筆天價帳單。
Source: ezone.hk、Reddit
【相關報道】
【相關話題】香港版OpenClaw!一鍵免費裝「龍蝦」零代碼AI教學 神級AutoClaw整合DeepSeek辦公秒速自動化
智譜(02513)正式上線內地首個一鍵部署工具AutoClaw,支援Mac及Windows系統,用戶可於一分鐘內本地部署開源AI Agent「龍蝦」。該工具內置逾50種預設技能及專屬優化模型Pony-Alpha-2,並支援接入DeepSeek及GLM等主流模型API。
Source: ezone.hk