B站影视

首页 > 资讯信息 > 内地电影

「免费额度」秒变40万债务?学生误泄Gemini API密钥背上巨额账单:开发者社区炸锅,谷歌最终免单

B站影视 内地电影 2025-09-28 15:31 1

摘要:近日,一名来自格鲁吉亚的学生在开发者社区讲述了自己的惨痛经历:因为一次无心之失,他不小心将 Google Cloud 的 Gemini API Key 泄露在 GitHub 上,结果在短短几个月内被恶意滥用,最终生成了一张高达 55444 美元(约合 40 万

整理 | 郑丽媛

出品 | CSDN(ID:CSDNnews)

近日,一名来自格鲁吉亚的学生在开发者社区讲述了自己的惨痛经历:因为一次无心之失,他不小心将 Google Cloud 的 Gemini API Key 泄露在 GitHub 上,结果在短短几个月内被恶意滥用,最终生成了一张高达 55444 美元(约合 40 万人民币) 的账单。

这名学生崩溃道:“一个小小的错误,就可能把生活变成噩梦。”

事件曝光后,引发了许多程序员的关注和热议。有人质疑谷歌为何不提供「硬性消费上限」,有人分享了自己团队也踩过类似的坑,有人则为这名学生鸣不平,呼吁谷歌应该加强针对用户的保护机制。

一场“免费额度“的噩梦

事情的起因非常简单。

这名学生用学校邮箱注册了 Google Cloud,打算利用谷歌提供的 300 美元免费额度做一些学习实验——实际上,他只消耗了 80 美元,还剩下 220 多美元。

然而,6 月 6 日,他不小心把 Gemini API Key 提交到了 GitHub 上。当时他以为仓库是私有的,但实际上在一次提交中暴露了 Key,他自己却没注意。更糟糕的是,因为正值暑假,他几乎没查过学生邮箱,因此完全没有意识到问题的存在。

直到 9 月 7 日,一名 GitHub 用户发来消息,提醒他 API Key 已长时间暴露并被他人滥用。可这时,一切都已经太迟:当他登录账号查看时,账单金额已经飙升到 55,444 美元。

根据这名学生的描述,账单分三波累计:

● 6 月:732 美元(因信用卡已过期,未能成功扣款)

● 8 月:31000 多美元

● 9 月 1 日 - 7 日:又增加 21000 多美元

更离谱的是,短短两天,攻击者就对 API 发起了 1.42 万次请求,虽全部失败,但仍被计费。

与谷歌交涉的结果:同情,但不取消

发现问题后,这名学生立刻撤销了API Key,联系了 Google Cloud 账单支持团队,甚至报了警。他提交了完整的证据,包括:使用日志、GitHub 链接、截图、API Key 撤销记录等。

然而,谷歌的最终回复是:

“账单依旧有效,不会取消或修改。”

从态度上来说,谷歌始终保持着礼貌和同情,但也明确表示决定已定。随后,该学生收到了警告:如果 10 天内不付款,欠款将被转交给收债机构,并可能产生额外费用。

对于一个来自格鲁吉亚、当地日均收入约 15 美元的学生而言,他坦言这笔账单相当于他几十年的收入:“这不是我能承担的金额,我甚至从未想过一串 API Key 会让我背上这样沉重的债务。我不是想逃避责任,但我也不想因为一些我自己没做过的事情而毁了我的生活。”

开发者们的讨论:为什么没有“硬性上限”?

这个帖子一发,就在开发者社区炸开了锅。许多开发者第一反应是:为什么谷歌只能设置提醒,而不能真正限制消费?

有开发者吐槽:“为什么我可以设置提醒,但不能设定硬性上限?我问过 Google 支持,但他们的回答千篇一律,像是 AI 自动生成的模板。”

对此,另一位用户从计费机制解释了原因:GCP 的计费是基于「先消耗,再结算」的模式,涉及多种条件计算(是否免费层、跨区域流量等)。这些数据需要经过 SKU 使用量 → 复杂因子计算 → 推送到账单视图,往往延迟一天以上,因此,实时硬性限制几乎不可能实现。

不过,也有人提出了解决思路:

“可以通过「配额(Quota)」限制 API 调用次数,但不适用于所有场景。我的习惯是限制服务账号的 IP 范围(IPv4/IPv6),同时在提交代码前用 gitleaks 等工具扫描,避免密钥泄露。”

与此同时,在讨论中还有不少开发者表达了对这名学生的同情:

“我们都是专业人士,谁没犯过错?人生就是不断学习的过程。我的建议是:先确保 Key 已销毁,开启 2FA,检查账户是否有被滥用跑 VM、挖矿等行为。然后,持续联系谷歌账单支持,坚持沟通,明确表明这是误操作导致的异常账单,自己无力支付。要诚实说明财务情况,保存所有沟通记录,必要时不断升级申诉。”

“我同事也泄露过一次 Key,好在我们几小时就发现了。那是公司账户,我们花了 2 万美元买了个教训。后续清理环境的活交到我手里,过程说起来倒是挺有趣,可对个人开发者来说,这就是毁灭性的打击。”

最终结果:谷歌全额豁免

随着帖子传播,越来越多开发者关注此事。最终在 9 月 25 日,这名学生发布了最新进展:

经过 Google Cloud 账单团队的再次复核,5.5 万美元的欠款被全额豁免!

他在原帖中更新写道:“我想向所有表达支持和提供建议的人表示最深的感谢。你们的鼓励对我非常重要。同时也要感谢谷歌账单团队的服务。”

可尽管如此,此次事件还是给所有云服务用户(尤其是学生和个人开发者)敲了一记警钟。

就像这名学生说的,“一个小小的错误,就可能把生活变成噩梦”——对于所有正在学习或使用云服务的开发者来说,这绝不是危言耸听。

参考链接:https://www.reddit.com/r/googlecloud/comments/1noctxi/student_hit_with_a_5544478_google_cloud_bill/

来源:CSDN一点号

免责声明:本站系转载,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!
相关推荐