Sebuah kunci API Google Gemini milik seorang pengembang diretas, menghasilkan biaya lebih dari 80.000 dolar dalam waktu 48 jam

IT之家 4 Maret, menurut laporan Tom’s Hardware, seorang pengguna Google Gemini memposting di Reddit bahwa dirinya “dalam keadaan terkejut dan panik”, masalahnya terkait dengan tagihan terbaru yang diterima oleh perusahaan pengembang perangkat lunaknya.

Pengguna Reddit tersebut, RatonVaquero, biasanya menghabiskan sekitar 180 dolar AS per bulan untuk layanan Gemini AI (Catatan IT之家: kurs saat ini sekitar 1245 yuan RMB). Namun, dalam waktu hanya 48 jam bulan lalu, akunnya menghasilkan biaya sebesar 82.314,44 dolar AS (kurs saat ini sekitar 569.000 yuan RMB).

Ada yang menyalahgunakan akunnya, secara gila-gilaan memanggil Gemini 3 Pro untuk menghasilkan sejumlah besar gambar dan teks. Jika Google tidak bersedia membebaskan biaya besar yang timbul akibat dugaan pencurian API key ini, perusahaan tersebut akan menghadapi kebangkrutan.

Namun, semuanya sudah terlambat. RatonVaquero baru saja mengambil serangkaian langkah perbaikan: menghapus kunci yang dicuri, menonaktifkan API Gemini, mengganti kredensial, mengaktifkan verifikasi dua langkah di seluruh platform, membatasi ketat izin IAM, dan mengajukan tiket dukungan. Tetapi dari tanggapan awal layanan pelanggan Google, besar kemungkinan biaya ini tetap harus ditanggung oleh pengguna.

Dari komunikasi pengguna ini dengan Google, besar kemungkinan pihak Google akan mengalihkan tanggung jawab berdasarkan ketentuan dalam perjanjian yang menyatakan bahwa pengguna harus melakukan verifikasi identitas, pengaturan akses, keamanan jaringan, dan perlindungan API key sendiri. Banyak pengguna Reddit juga menunjukkan bahwa insiden pencurian API key ini kemungkinan besar bermasalah pada Google sendiri, karena Google telah melonggarkan aturan kerahasiaan API key, sehingga pencuri memiliki peluang untuk memanfaatkannya.

Sebagai salah satu dari tiga pengembang perusahaan perangkat lunak di Meksiko yang terdampak, RatonVaquero memohon kepada Google “berbelas kasih” dan mengeluhkan bahwa Google bahkan tidak memiliki langkah perlindungan dasar untuk menghadapi penggunaan yang ekstrem dan bermasalah.

Dari biaya bulanan yang meningkat dari 180 dolar AS menjadi lebih dari 82.000 dolar AS dalam 48 jam, peningkatan penggunaan ini benar-benar sangat ekstrem dan tidak biasa.

Dia juga menyatakan bahwa Google seharusnya menyediakan layanan pembekuan sementara untuk peninjauan dan batas konsumsi API per permintaan.

Setelah menyelidiki insiden tagihan fantastis ini, dapat ditemukan bahwa:

Pengguna pribadi / pengguna biasa Gemini memiliki batas penggunaan, sehingga tidak akan melebihi biaya bulanan tetap;

Pengguna pengembang / pengguna Google AI Studio versi bisnis dapat mengatur kuota (membatasi jumlah permintaan harian / per menit);

Pengguna Google Cloud (Vertex AI) dapat mengatur pengingat anggaran, dan akan menerima pemberitahuan saat mencapai jumlah tertentu.

RatonVaquero menyatakan bahwa dalam waktu dekat akan kembali berkomunikasi dengan layanan pelanggan Google dan telah melaporkan ke FBI tentang kejahatan siber ini. Saat ini, dia hanya bisa berharap sikap Google melunak. Dia berencana menyediakan log insiden peningkatan penggunaan sebesar 455 kali ini sebagai korban insiden keamanan siber untuk mengajukan permohonan pengurangan biaya secara baik hati.