一开发者的谷歌 Gemini API 密钥被盗，48 小时产生超 8 万美元费用

3 月 4 日消息，据 Tom's Hardware 报道，一名 Google Gemini 用户在 Reddit 上发帖称自己自己“处于震惊和恐慌之中”，问题出在他的软件开发公司最近收到的账单上。

这位 Reddit 用户 RatonVaquero 平时每月在 Gemini AI 服务上的花费仅为 180 美元（注：现汇率约合 1245 元人民币）。然而，上个月短短 48 小时内，其账户就产生了 82,314.44 美元（现汇率约合 56.9 万元人民币）的费用。

有人盗用了他的账号，疯狂调用 Gemini 3 Pro 生成大量图片和文本。如果谷歌不肯免除这笔因 API 密钥疑似被盗产生的巨额费用，这家公司将面临破产。

然而，一切都为时已晚。RatonVaquero 现在才采取了一系列补救措施：删除被盗密钥、禁用 Gemini API、轮换凭证、全平台开启两步验证、严格限制 IAM 权限，并提交了支持工单。但从谷歌客服的初步回复来看，这笔费用大概率仍需由用户承担。

从该用户与谷歌沟通的情况来看，后者大概率会依据协议中要求用户自行做好身份验证、访问策略、网络安全、保护 API 密钥等内容来推脱责任。而不少 Reddit 网友指出，这起 API 密钥被盗事件，问题根源可能在谷歌自身，是谷歌放宽了 API 密钥保密规则，才让窃贼有机可乘。

作为受影响的墨西哥软件开发公司的三名开发者之一，RatonVaquero 恳请谷歌“手下留情”，并抱怨谷歌连应对灾难性使用异常的基础防护措施都没有。

从每月 180 美元暴增到 48 小时超 8.2 万美元，这种使用量增幅确实堪称极端异常。

他还表示，谷歌理应提供临时冻结服务待审核以及单 API 消费上限等功能。

调查此次天价账单事件后可以发现：

个人 / 普通 Gemini 用户有使用额度限制，不会超出固定月费；

开发者 / 商业版 Google AI Studio 用户可设置配额（限制每日 / 每分钟请求数）；

谷歌云（Vertex AI）用户则可设置预算提醒，达到指定金额时会收到通知。

RatonVaquero 表示近期会再次与谷歌客服沟通，并已向 FBI 提交网络犯罪报案。目前他只能寄希望于谷歌态度软化。他计划提供此次使用量暴增 455 倍的异常日志，以网络安全事件受害者的身份申请善意减免额度。