1次操作莫名背上10.6万元账单、Gemini API密钥被盗、项目濒临崩溃，独立开发者无奈：10分钟就删除旧密钥，Google账单却延迟30小时

事件背景

近年来，AI API服务成为开发者快速集成智能功能的重要工具，而Google的Gemini API也因其强大的生成能力广受欢迎。然而，API服务依赖密钥进行身份验证，一旦密钥泄露，可能被恶意调用，带来严重后果。

此次事件的主角是一名独立开发者，同时也是一家小型创业公司的负责人。他依靠Gemini API为项目提供AI生成内容功能。然而，近日他发现自己的API密钥疑似被盗，导致短时间内产生巨额费用账单。

事件详情

根据开发者描述，他在发现密钥可能被盗后，立即采取行动，仅用了10分钟就删除了旧密钥，并更新了安全设置。然而，Google的账单系统却在30小时后才停止计费，期间攻击者大量调用Gemini 3 Pro API，用于生成文本和图像。

• 被盗用时间：约48小时
• 损失金额：高达8.2万美元（约合新台币260万元）
• 主要被调用模型：Gemini 3 Pro
• 攻击行为：异常高频率调用，集中在文本与图像生成

尽管开发者第一时间联系Google客服并说明情况，但对方并未立即减免账单，而是要求其提交完整证据，等待进一步审核。开发者在社交媒体上发文控诉，引发广泛共鸣与讨论。

Google的回应与安全漏洞

事件曝光后，Google官方确认该密钥确有异常调用记录，并承认Gemini API存在安全漏洞，可能与部分密钥暴露在公开代码仓库中有关。随后，Google展开内部调查并承诺修复系统漏洞。

一项安全扫描发现，在互联网上已有2863个有效Gemini API密钥被公开暴露，其中不少属于中小企业或独立开发者。这一数字凸显出开发者在使用云服务API时对密钥管理的普遍薄弱。

• Google表示将加强API密钥的安全监控机制
• 承诺优化异常使用检测系统，提升响应速度
• 将评估对此次事件中受影响用户进行账单减免

行业影响与反思

此次事件不仅让涉事公司陷入濒临破产的危机，也引发开发者群体对云服务商账单系统反应迟滞的强烈抗议。许多开发者质疑：

• 为何删除密钥后，账单系统仍持续计费30小时？
• 为何Google未能及时检测到异常调用并自动暂停服务？
• 为何API密钥管理机制没有更严格的保护？

开发者普遍呼吁，云服务提供商应设立更智能的异常检测机制，并允许在密钥删除后即时终止计费，而不是依赖后台延迟更新。

后续进展与建议

截至目前，Google尚未完全免除涉事开发者的费用，但表示正在“积极评估”。开发者呼吁同行：

1. 定期更换API密钥
2. 使用密钥轮换工具或服务
3. 在密钥泄露后立即联系客服
4. 启用API使用配额限制与费用警报功能

同时，行业专家建议Google及其他云服务提供商：

• 强制实施API密钥的即时失效机制
• 引入AI驱动的实时费用监控系统
• 提供免费的安全密钥管理工具

此事件再次提醒开发者：API安全不仅是技术问题，更是财务与业务风险的关键防线。