独立开发者vatcode控诉Google：Gemini API密钥被盗，10分钟删除旧密钥却因30小时账单延迟背上10.6万元天价账单

一次为应用添加AI功能的常规测试，竟在24岁独立开发者vatcode毫不知情的情况下，引来了1.54万美元（约合10.6万元人民币）的巨额账单，几乎压垮了他的创业项目。vatcode在Reddit上发布长文控诉，将矛头直指Google，称其API密钥的默认安全设置与长达30小时的账单延迟通知，共同导致了这场灾难。他直言，Google的设计缺陷“可能会毁掉我的生计，以及这些年的全部努力”。

事件的根源在于Google Firebase自动生成的API密钥。多年来，vatcode一直使用这些默认“无任何限制”的密钥，并按照官方文档的理解，将其视为用于地图等非计费公共服务的“公共标识”，安全机制依赖于HTTP Referrer限制。然而，当他为项目开启Gemini API进行内部测试时，Google并未发出任何警告或要求重新配置密钥。这一操作导致原本公开的旧密钥被悄然赋予了调用计费AI服务的权限。该密钥很快被攻击者通过僵尸网络爬取并疯狂调用Gemini API进行AI推理，产生了海量费用。

更关键的是，Google的账单系统存在严重延迟。vatcode在发现问题后仅用10分钟就删除了旧密钥，但攻击产生的费用账单却延迟了超过30小时才通知到他。这种设计与响应时间的脱节，使得开发者无法及时止损。vatcode的案例并非孤例，这暴露了云服务巨头在默认安全策略、权限管理透明度和实时消费警报机制上的潜在风险，对资源有限的独立开发者和小型创业团队构成了严峻的生存威胁。