对开发者而言,API 密钥(Key)如同银行卡密码,一旦泄露后果不堪设想。近日,一名来自墨西哥的 3 人小团队开发者在社交平台 Reddit 发帖求助,称其因操作失误不慎将 Google Gemini 的 API 密钥泄露至公网,在短短 48 小时内收到了高达 8.2 万美元(约合 59 万人民币)的巨额账单。

该开发者表示,其团队平时每月的 Gemini 使用费用仅为 180 美元左右。然而,由于密钥在网上被恶意爬虫抓取并疯狂盗用,账单数额在两天内呈指数级飙升。面对这笔无力支付的“天文数字”,该团队联系了 Google 支持工程师寻求减免,但得到的答复却十分冷酷:根据 Google Cloud 的“共享责任模式”,保护密钥安全是用户的责任,而非平台失误,因此必须全额支付。

此次事件再次引发了开发者对 Google Cloud 计费机制的集体吐槽。与 OpenAI 等平台普遍采用的“预付费+消费限额”模式不同,Google Cloud 默认不提供硬性的预算熔断机制。虽然平台有预算预警功能,但如果开发者未提前设置或未及时查看邮件,系统并不会因为请求量异常激增而自动阻断服务。

相比之下,OpenAI 等竞争对手只要余额耗尽就会立即关停 API 访问。而 Google 提供的是“请求速率限制”而非“消费额度限制”,这在客观上为“天价账单”的产生留下了漏洞。目前,该开发者仍在与 Google 艰难协商。业内专家提醒,在调用各类 AI 模型时,务必检查平台是否支持强制消费限额,若没有相关安全机制,应极度谨慎地保管密钥。

划重点

  • 💸 48 小时产生 59 万元账单:因密钥泄露导致 API 被盗刷,3 人小团队面临无法承受的经济损失。

  • 🚫 Google 拒绝买单:基于“共享责任模式”,Google 认为开发者应自行承担安全失误导致的全部成本。

  • ⚠️ 机制缺陷遭质疑:开发者呼吁 Google 改进配额管理,增加类似 OpenAI 的“余额耗尽自动熔断”功能,防止此类悲剧重演。