48小时损失56万!墨西哥初创公司API密钥被盗,谷歌云安全机制遭质疑
48小时损失56万!API密钥被盗引发的云服务安全危机
你有没有想过,一夜之间公司可能因为一个技术漏洞而面临破产?这不是危言耸听,而是真实发生在墨西哥一家初创公司身上的惨痛经历!
💡 天价账单从天而降:48小时损失56万元
"我现在整个人都处在震惊和恐慌之中。"这是墨西哥开发者RatonVaquero在Reddit上的求助帖开头。
他的公司只有三名开发者,平时每月在Google Cloud上的支出只有180美元(约1242元)。然而,在短短48小时内,他们的账单突然暴涨到82,314.44美元(约56.8万元)!
这相当于正常月费的455倍!对于这家小公司来说,这笔突如其来的费用几乎等同于灭顶之灾。
⚠️ 事件始末:API密钥泄露引发的灾难
根据RatonVaquero的描述,他的Google Cloud API密钥在2月11日至12日之间被泄露了。具体泄露原因至今不明,团队也没有在软件中发现明显错误。
随后,未知攻击者利用该密钥疯狂调用Gemini 3 Pro的图像和文本接口,最终在两天内产生了天价费用。
发现异常后,团队立即采取紧急措施:
- 删除被盗的API密钥
- 禁用Gemini相关接口
- 更换所有访问凭证
- 全面启用双重验证
- 收紧IAM权限配置
同时,他们也向Google Cloud提交了支持工单,希望能获得官方协助。
🚨 谷歌的回应:共享责任模式
目前得到的回复并不乐观。Google方面提到了"Shared Responsibility Model(共享责任模式)"。
根据这一原则:
- 云平台负责基础设施安全
- 账户和密钥管理由用户自行负责
这意味着,即便是密钥被盗导致的调用费用,也可能需要用户承担!
"如果谷歌要求我们支付哪怕三分之一的费用,公司都会直接破产。"RatonVaquero无奈地表示,"我们现在只是勉强维持运营,还寄希望于某个产品能够成功。我们只是墨西哥的三个开发者组成的小团队。"
截至目前,Google尚未明确说明是否会强制要求该公司支付全部费用,也没有表态是否会承担部分损失。
🔍 安全机制缺失:为什么没有异常保护?
这起事件让RatonVaquero对Google Cloud的安全机制产生了严重疑问。
在他看来,从每月180美元到48小时8.2万美元的支出暴涨,显然不属于正常波动,而是非常明显的异常行为!
然而在使用过程中,Gemini并没有触发任何自动保护机制:
- 使用量突然达到历史水平数倍时没有自动停止服务
- 费用出现极端增长时没有要求额外确认
- 异常情况下没有暂时冻结账户等待审核
"这笔账单远远超过我们银行账户里的钱。"RatonVaquero写道。
🌐 更大的安全隐患:数千个API密钥可能被滥用
更令人担忧的是,这起事件可能只是冰山一角!
据美国网络安全公司Truffle Security的研究发现:
- 至少2863个Google API密钥存在安全隐患
- 这些原本只用于标识计费项目的密钥,现在可以直接用于Gemini API身份验证
- 攻击者获取这些密钥后,不仅能访问账户中的上传文件和缓存数据,还能不断消耗API配额,把所有计算费用转嫁到密钥拥有者身上
💥 问题根源:API密钥设计缺陷
Truffle Security指出,问题的根源在于Google Cloud使用同一种API Key格式来处理两种完全不同的用途:
- 公开身份识别
- 敏感认证
多年来,Google一直告诉开发者,API Key可以安全地嵌入客户端代码中。这在当时是合理的,因为API Key的设计初衷是作为项目的标识符,用于计费。
然而,随着Gemini的出现,情况发生了根本变化!
当你在Google Cloud项目中启用Gemini API时,该项目中现有的API Key(包括那些已经嵌入在你网站公共JavaScript中的Key)会在不发出任何警告的情况下悄然获得访问敏感Gemini端点的权限。
这带来了两个严重问题:
权限溯源扩张
你三年前创建了一个Maps Key,并严格按照Google的指引嵌入到网站源代码中。上个月,你团队的某个开发者为内部原型启用了Gemini API。现在,你的公共Maps Key变成了Gemini的认证凭证!
默认配置不安全
当你在Google Cloud创建一个新的API Key时,默认状态是"无限制",意味着它立即对项目中所有已启用的API(包括Gemini)有效。
结果就是:成千上万原本用于计费的无害API Key,如今成为了公开网络上的Gemini凭证!
🛡️ 攻击者可以做什么?
攻击者只需要:
- 访问你的网站
- 查看页面源代码
- 从Maps嵌入中复制你的AIza... Key
然后他们就可以:
- 访问私有数据:/files/和/cachedContents/端点可能包含上传的数据集、文档和缓存的上下文
- 造成账单费用激增:根据模型和上下文窗口大小,单个受害账号每天可能产生数千美元的费用
- 耗尽配额:彻底中断你合法的Gemini服务
攻击者甚至不需要接触你的基础设施,他们只需从公共网页抓取一个Key就能完成攻击!
⏳ 漏洞披露与修复进展
Truffle Security早在2025年11月就已经向Google的漏洞披露项目提交过相关报告,但当时Google将其认定为"预期行为",并未引起重视。
直到同年12月1日,研究人员提交了一个来自Google自身基础设施的案例后,Google才重新评估这一问题。
随后,Google将该报告从"客户问题"重新归类为"系统漏洞",并提高了问题严重等级,开始推进修复工作。
然而截至2026年2月2日,Google向研究人员反馈称,仍在研究和努力修复问题。
随着90天漏洞披露窗口期的结束,Truffle Security团队将这一问题公开出来。研究员Joe Leon表示,目前尚未看到任何"具体结果"。
💬 开发者社区的反应
如今RatonVaquero的遭遇也在开发者社区引发了热烈讨论:
有网友怀疑,这起事件是否与最近流行的"氛围编码"有关,认为自动生成代码的工具可能会在无意中泄露密钥。但RatonVaquero很快回应称,他们并没有使用这类方式开发。
也有开发者给出了更现实的建议:"说实话,坚持联系Google可能是唯一的办法,不要放弃,希望总是存在的。"
🚀 如何保护你的云服务安全?
基于这次事件的教训,我们总结了几点重要的安全建议:
1. 定期审计API密钥
- 检查所有API密钥的权限范围
- 删除不再使用的密钥
- 限制密钥的访问权限
2. 启用监控和告警
- 设置费用阈值告警
- 监控API调用异常
- 建立使用量基线
3. 加强密钥管理
- 使用密钥管理服务
- 定期轮换密钥 热点资讯2024-09-02 00:00:002023-09-01 00:00:002024-05-16 00:00:002025-05-20 00:00:002024-06-07 00:00:002024-10-04 00:00:002024-11-18 00:00:00最新资讯2026-03-06 05:52:492026-03-06 05:50:022026-03-06 05:47:322026-03-06 05:43:152026-03-06 05:40:132026-03-06 05:36:182026-03-06 05:33:13
