對開發者而言,API 密鑰(Key)如同銀行卡密碼,一旦泄露後果不堪設想。近日,一名來自墨西哥的 3 人小團隊開發者在社交平臺 Reddit 發帖求助,稱其因操作失誤不慎將 Google Gemini 的 API 密鑰泄露至公網,在短短 48 小時內收到了高達 8.2 萬美元(約合 59 萬人民幣)的鉅額賬單。

該開發者表示,其團隊平時每月的 Gemini 使用費用僅爲 180 美元左右。然而,由於密鑰在網上被惡意爬蟲抓取並瘋狂盜用,賬單數額在兩天內呈指數級飆升。面對這筆無力支付的“天文數字”,該團隊聯繫了 Google 支持工程師尋求減免,但得到的答覆卻十分冷酷:根據 Google Cloud 的“共享責任模式”,保護密鑰安全是用戶的責任,而非平臺失誤,因此必須全額支付。

此次事件再次引發了開發者對 Google Cloud 計費機制的集體吐槽。與 OpenAI 等平臺普遍採用的“預付費+消費限額”模式不同,Google Cloud 默認不提供硬性的預算熔斷機制。雖然平臺有預算預警功能,但如果開發者未提前設置或未及時查看郵件,系統並不會因爲請求量異常激增而自動阻斷服務。

相比之下,OpenAI 等競爭對手只要餘額耗盡就會立即關停 API 訪問。而 Google 提供的是“請求速率限制”而非“消費額度限制”,這在客觀上爲“天價賬單”的產生留下了漏洞。目前,該開發者仍在與 Google 艱難協商。業內專家提醒,在調用各類 AI 模型時,務必檢查平臺是否支持強制消費限額,若沒有相關安全機制,應極度謹慎地保管密鑰。

劃重點

  • 💸 48 小時產生 59 萬元賬單:因密鑰泄露導致 API 被盜刷,3 人小團隊面臨無法承受的經濟損失。

  • 🚫 Google 拒絕買單:基於“共享責任模式”,Google 認爲開發者應自行承擔安全失誤導致的全部成本。

  • ⚠️ 機制缺陷遭質疑:開發者呼籲 Google 改進配額管理,增加類似 OpenAI 的“餘額耗盡自動熔斷”功能,防止此類悲劇重演。