最近可說越來越多人開始嘗試 OpenClaw,雖然 OpenAI、Ollama 等服務可以用 OAuth 認證方式,但這種都有用量上限,意味著跑完就必須等待用量重置才能繼續使用。而為了確保 OpenClaw 能長時間都正常運作,可能就會改用 API 方式,雖然使用很簡單且方便,但風險其實也比一般人想像中高很多,金鑰管理、權限限制、用量監控等都要設定好。最近就有一名開發者分享自己團隊的 Gemini API 金鑰遭竊,短短兩天被刷出超過台幣 260 萬,如果 Google 最終不願撤銷這筆費用,這間公司可能因此面臨破產。
Gemini API 金鑰遭盜用,48 小時帳單暴增到 8.2 萬美元
根據外媒 Tom’s Hardware 報導,一位 Reddit 用戶 RatonVaquero 在論壇上發文,描述自己與另外兩名夥伴共同經營的小型開發團隊,遭遇前所未有的帳單危機。
事情緣由是他們的 Google Cloud API 金鑰在不知情的情況下遭到盜用,他們平常每個月花費只有 180 元,而在 2 月 11 日到 12 日這短短 48 小時內,攻擊者大量呼叫他們帳號底下的 Gemini 3 Pro Image 和 Gemini 3 Pro Text 這兩個 API 端點,使用量暴增了整整 455 倍,最終帳單金額衝到驚人的 82,314.44 美元,約台幣 261 萬。
發現異常後,他們立即採取所有標準應急措施,包括刪除遭洩露的金鑰、停用 Gemini 相關 API、重新輪換所有憑證、全面開啟雙重驗證(2FA)、鎖緊 IAM(身分與存取管理)權限,並且向 Google 客服提交支援案件。
只不過 Google 的回應讓他們非常擔心,客服搬出「共同責任模型(Shared Responsibility Model)」,白話一點就是,平台的安全是 Google 的責任,但金鑰安不安全,是你自己的事。也就是說,Google 暗示這筆 82,314 美元的帳單,很可能還是得由他們自行承擔,RatonVaquero 在貼文中坦言,整個團隊正面臨破產危機。
如果 Google 要求我們支付哪怕只有三分之一的金額,我們的公司都會直接破產。我們現在只是勉強撐著,希望有一天我們的產品能成功。
$82,000 in 48 Hours from stolen Gemini API Key. My monthly Usage Is $180. Facing Bankruptcy
byu/RatonVaquero ingooglecloud
Google Cloud 的帳單計算方式跟其他 API 比較不同,都是「用多少算多少、事後再結帳」,因此沒有一個真正的硬性消費上限。平台有提供「帳單警示」功能,讓用戶在費用超過設定門檻時收到通知,但這只是一封通知信,不是自動中斷機制,因此 API 被盜且等用戶讀到那封信時,很可能已經被狂用好幾個小時了。
RatonVaquero 在貼文中也抱怨,Google 應該提供「偵測到異常使用量時,暫時凍結服務直到人工審查」的機制,以及「每個 API 各自的消費上限」設定,而不是讓帳單無止境疊加。
有網友就留言不要太早放棄,因為過去確實有人碰過類似超額帳單後,最後透過反覆申訴、帳戶經理協調,拿到部分減免或折抵:
不過也有部分網友認為,他們一開始安全措施就完全沒做對,像是他提到輪替憑證、鎖 IAM、開 2FA 都正確,但問題是,這些本來就應該設定好,而不是帳單爆掉後才做:
82,314 美元對大型科技公司可能沒什麼,但對一個只有三人的小型開發團隊來說,卻是足以讓公司就此倒閉的金額,更別提個人開發者。大家在使用 API 時真的要特別小心,尤其是採「後付費、無上限」的模式。