1次操作莫名背上10.6萬元賬單、Gemini API密鑰被盜、項目瀕臨崩潰,獨立開發者無奈:10分鐘就刪除舊密鑰,Google賬單卻延遲30小時
事件背景
一名獨立開發者發現其Google Gemini API密鑰遭盜用,短時間內產生鉅額費用,導致項目瀕臨崩潰。該事件引發開發社群廣泛關注,呼籲Google加強API密鑰安全機制。
費用與影響
- 一名開發者稱,其API密鑰被盜後,48小時內產生超過8.2萬美元(約新臺幣106萬元)的費用,遠超其銀行餘額。
- 另一案例顯示,墨西哥初創公司因密鑰被盜,48小時內損失8.2萬美元,引發企業破產危機。
- 部分開發者反映,原本每月僅約180美元(約1242元)的費用,在短時間內暴漲至數萬美元。
應對措施
受影響的團隊採取了多項緊急措施,包括:
- 立即刪除洩露的API密鑰。
- 禁用Gemini API服務。
- 輪換所有憑證,並在所有賬號啟用雙因素認證。
- 收緊身份與訪問管理(IAM)權限。
平臺回應
Google已承認API密鑰安全漏洞,並承諾修復。安全掃描發現存在2863個有效密鑰暴露,引發對API密鑰管理機制的廣泛質疑。