Gemini API密钥泄露致2.5万美元账单：开发者复盘Cloud Run服务安全漏洞与全额索赔全过程

一位在Google AI Studio构建超过120个应用的老开发者，遭遇了一场噩梦级的账单陷阱：Gemini API密钥遭恶意滥用，一夜之间产生25672.86美元（约17.5万元人民币）的天价账单。更值得警惕的是，尽管他已为每个项目设置独立API密钥、开启双重验证（2FA）并启用云审计日志，这套被普遍认为“该做的都做了”的防护体系，依然未能阻止攻击发生。

事件源于几个月前从AI Studio发布的一个公开Cloud Run服务URL。该URL从未在任何地方分享或被搜索引擎索引，却仍被攻击者精准定位。攻击者获取存储在服务容器中的明文环境变量API Key后，以每分钟约1000次的频率疯狂调用Gemini Pro Image及相关API，整夜发起了多达60000次图像生成请求——这些请求由Google自己的系统代为签署，绕过常规风障直抵计费通道。直到次日早上9:30，当事人设置的10美元预算提醒邮件才姗姗来迟。

事件最关键的转折在于索赔过程。不同于多数遭遇类似困境的开发者往往求偿无门，venturaxi在多轮沟通与拉锯后，最终获得Google全额赔偿。他随后在Reddit、LinkedIn等平台系统性复盘事件始末，并整理出一套可执行的防护清单，剑指Google当前计费与安全机制的默认设置隐患：明文存储API密钥、公开URL的可见性管理、以及预算预警的响应时效，均被指存在系统性漏洞。此案或将对Google Cloud的API安全架构和计费防护机制形成持续审视压力。