对开发者来讲,API 密钥就像进账账户的“门钥匙”,一旦曝露,后果相当严重。最近,墨西哥一支由 3 人组成的小团队在社交平台 Reddit 发帖求助,称他们因一次操作失误把 Google Gemini 的 API 密钥放到了公网,短短 48 小时便收到高达 8.2 万美元(约合 59 万人民币)的账单。
该开发者表示,团队平日每月在 Gemini 上的花费只有约 180 美元。可密钥被网络爬虫抓到后遭到疯狂盗刷,消费在两天内呈指数式激增。面对这笔难以承担的巨额费用,他们联系了 Google 支持工程师请求减免,但回复十分强硬:按照 Google Cloud 的“共享责任模型”,密钥安全由用户自行负责,并非平台失误,因此需要全额支付。
此事再次引发开发者对 Google Cloud 计费与风控机制的质疑。不同于 OpenAI 等平台普遍采用的“预充值 + 消费上限”模式,Google Cloud 默认不提供强制性的预算熔断。虽然有预算告警功能,但如果未提前设置或未及时查看通知,即便请求量异常飙升,系统也不会自动停用服务。
相比之下,OpenAI 等竞品在余额用尽后会立即切断 API 访问。而 Google 更侧重“请求速率限制”,而非“消费额度限制”,在客观上为“天价账单”的出现留下了空间。目前,这位开发者仍在与 Google 艰难沟通。业内人士提醒,调用各类 AI 模型时,务必确认平台是否支持硬性消费上限;若缺乏此类安全机制,应格外谨慎保管密钥。
划重点
-
💸 48 小时产生 59 万元账单:密钥泄露导致 API 被恶意滥用,3 人小团队背上难以承受的费用。
-
🚫 Google 拒绝买单:依据“共享责任模型”,Google 认为安全疏忽应由用户承担全部成本。
-
⚠️ 机制缺陷受关注:开发者呼吁 Google 完善配额与预算控制,加入类似 OpenAI 的“余额耗尽自动熔断”,避免悲剧重演。
用户38505528 6个月前0
粘贴不了啊用户12648782 7个月前0
用法杂不对呢?yfarer 7个月前0
草稿id无法下载,是什么问题?