泄露Gemini API密钥遭8.2万美元账单 谷歌拒绝减免

近日，墨西哥一支3人小型开发者团队在Reddit发布求助帖，因操作失误将Google Gemini API密钥泄露至公网，48小时内被恶意爬虫盗用产生8.2万美元账单，远超其月均180美元的常规开支。该团队联系谷歌寻求费用减免，却依据谷歌云“共享责任模式”被拒，事件引发全球开发者对AI API计费与密钥安全的广泛讨论。

不久前，这个位于墨西哥的微型开发团队在Reddit的求助帖里附上了账单截图与详细经过。他们原本只用Google Gemini API搭建一款面向本地小商家的文案生成工具，日常调用量稳定在每月数百次，账单金额始终控制在180美元以内。直到上周，团队成员误将包含密钥的配置文件上传至公开代码仓库，短短一小时后，就有同社群的开发者提醒他们“密钥被公开了”。

紧接着的48小时里，恶意爬虫通过公开密钥疯狂调用Gemini API，调用量从日均数百次跃升至日均数十万次，账单金额以每小时数千美元的速度累加。团队负责人在帖中提到，他们尝试紧急禁用密钥，但此时已产生了超过8万美元的费用，这笔款项相当于他们团队半年多的运营成本。据该团队透露，此前从未收到过谷歌云关于异常调用的预警通知，直到账单生成后才意识到问题的严重性。

面对这笔天文数字的账单，团队第一时间联系了谷歌云的技术支持，希望能基于意外情况减免部分费用，但得到的答复始终围绕谷歌云的共享责任模式：平台明确界定，API密钥的安全保管属于用户义务，若因用户自身操作不当导致泄露，平台不承担相关损失。这一回应引发了开发者社群的集体吐槽，不少用户指出，谷歌云的异常调用预警机制不够灵敏，未能在调用量激增的第一时间通知用户，导致损失进一步扩大。