文章摘要
【关 键 词】 谷歌云、密钥泄露、巨额账单、安全漏洞、AI风险
一家仅3名开发者的墨西哥小型初创公司,正常每月谷歌云服务支出约180美元,其Gemini账户API密钥被盗用后,48小时内产生82314.44美元(约合人民币57万元)的账单,费用较平日暴涨457倍,几乎全部来自Gemini 3 Pro的图像和文本服务。该团队第一时间完成了标准迅速的安全补救操作,并向谷歌提交支持请求。谷歌依据Google Cloud的“共享责任模式”,判定这笔未经授权产生的API费用仍需客户承担,截至发帖时,除了付款没有别的选择。对现金流紧张的小团队来说,该笔费用足以直接导致公司破产,当事人已向社区求助并向FBI提交网络犯罪报告,目前该事件的最终结局尚未可知。该团队质疑谷歌云的风控逻辑,提出为何没有针对灾难性使用异常的基本防护措施,在使用量远超历史基线的情况下,没有自动硬性停止、强制确认、临时冻结,也没有默认的单API消费上限,这一事件折射出小团队面对生成式AI API风险的结构性焦虑,这类服务单价更高,凭证泄露后短时间即可产生致命级别的账单。
安全公司Truffle Security的研究员揭示了该问题的结构性根源:Google Cloud使用单一API密钥格式同时承担公开身份识别和敏感身份验证两个根本不同的用途,Gemini推出后原有设计的安全问题彻底暴露。此前谷歌一直明确告知开发者,API密钥并非秘密,可安全嵌入客户端代码,这类密钥原本仅作为计费项目标识符使用。但当同一项目中启用Gemini API后,原有公开部署的API密钥会在后台静默获得访问敏感Gemini端点的权限,没有任何警告、确认对话框或电子邮件通知,数千个原本良性的API密钥因此变成暴露在公共互联网的Gemini实时凭证。该问题具体体现为追溯性权限扩展和不安全的默认设置,研究团队扫描公开网页存档后,发现了2863个存在该权限提升漏洞的Google API密钥,受害者涵盖大型金融机构、安全公司甚至谷歌自身。目前谷歌已扩展泄露凭证检测流程,承诺修复问题但尚未推出具体整改成果。
该事件在技术社区引发广泛讨论,网友观点分化,不少人同情小团队的遭遇,认为平台应当在极端异常场景下预留缓冲空间,也有观点认为开发者未主动配置消费限制存在过错,还有技术从业者指出该事件暴露了谷歌密钥架构设计的缺陷,强调应当针对不同使用场景分离密钥权限、优化默认安全设置和自动风控机制。
原文和模型
【原文链接】 阅读原文 [ 3742字 | 15分钟 ]
【原文作者】 AI前线
【摘要模型】 doubao-seed-2-0-lite-260215
【摘要评分】 ★★★☆☆
相关文章
