泄露Gemini API密钥遭8.2万美元账单 谷歌拒绝减免

近日，墨西哥一支3人小型开发者团队在Reddit发布求助帖，因操作失误将Google Gemini API密钥泄露至公网，48小时内被恶意爬虫盗用产生8.2万美元账单，远超其月均180美元的常规开支。该团队联系谷歌寻求费用减免，却依据谷歌云“共享责任模式”被拒，事件引发全球开发者对AI API计费与密钥安全的广泛讨论。

不久前，这个位于墨西哥的微型开发团队在Reddit的求助帖里附上了账单截图与详细经过。他们原本只用Google Gemini API搭建一款面向本地小商家的文案生成工具，日常调用量稳定在每月数百次，账单金额始终控制在180美元以内。直到上周，团队成员误将包含密钥的配置文件上传至公开代码仓库，短短一小时后，就有同社群的开发者提醒他们“密钥被公开了”。

紧接着的48小时里，恶意爬虫通过公开密钥疯狂调用Gemini API，调用量从日均数百次跃升至日均数十万次，账单金额以每小时数千美元的速度累加。团队负责人在帖中提到，他们尝试紧急禁用密钥，但此时已产生了超过8万美元的费用，这笔款项相当于他们团队半年多的运营成本。据该团队透露，此前从未收到过谷歌云关于异常调用的预警通知，直到账单生成后才意识到问题的严重性。

面对这笔天文数字的账单，团队第一时间联系了谷歌云的技术支持，希望能基于意外情况减免部分费用，但得到的答复始终围绕谷歌云的共享责任模式：平台明确界定，API密钥的安全保管属于用户义务，若因用户自身操作不当导致泄露，平台不承担相关损失。这一回应引发了开发者社群的集体吐槽，不少用户指出，谷歌云的异常调用预警机制不够灵敏，未能在调用量激增的第一时间通知用户，导致损失进一步扩大。

此次事件并非孤例，近年来，因API密钥泄露导致的巨额云账单事件屡见不鲜。业内人士指出，API密钥相当于AI服务的“访问密码”，一旦落入恶意攻击者手中，就可能被用于生成垃圾内容、训练替代模型或产生高额费用。不少中小开发者缺乏专业的密钥管理工具，习惯将密钥硬编码在代码中或分享至公开渠道，给了攻击者可乘之机。同时，当前AI云服务的按量计费模式缺乏灵活的阈值设置，用户难以设置预警机制限制异常调用，最终只能被动承担全部损失。

针对此类问题，全球技术社区已经开始呼吁云服务商优化相关机制：比如内置强制密钥轮换功能、为不同API密钥设置独立的调用限额、提供实时异常调用告警等。同时，开发者也被提醒，必须通过环境变量、密钥管理服务（KMS）等专业方式保管密钥，避免将敏感信息暴露在公开渠道。截至发稿，谷歌方面暂未就此次事件的计费机制优化作出公开回应。