Uma chave de API do Google Gemini de um desenvolvedor foi roubada, gerando mais de 80 mil dólares em custos em 48 horas

IT之家 4 de março, segundo o Tom’s Hardware, um usuário do Google Gemini postou no Reddit dizendo que está “em choque e pânico”, devido à fatura recente recebida por sua empresa de desenvolvimento de software.

Esse usuário do Reddit, RatonVaquero, normalmente gasta cerca de 180 dólares por mês no serviço Gemini AI (nota do IT: aproximadamente 1245 yuans na taxa de câmbio atual). No entanto, em apenas 48 horas no mês passado, sua conta acumulou uma despesa de 82.314,44 dólares (cerca de 569 mil yuans na taxa de câmbio atual).

Alguém usurpou sua conta, realizando chamadas massivas ao Gemini 3 Pro para gerar uma grande quantidade de imagens e textos. Se o Google não cancelar essa cobrança exorbitante, resultante de uma possível violação da chave API, essa empresa enfrentará falência.

No entanto, já era tarde demais. RatonVaquero só agora tomou uma série de medidas corretivas: excluir a chave comprometida, desativar a API do Gemini, trocar credenciais, ativar a autenticação de dois fatores em toda a plataforma, restringir rigorosamente as permissões do IAM e abrir um chamado de suporte. Mas, com base na resposta inicial do suporte do Google, é provável que essa despesa ainda seja de responsabilidade do usuário.

Pelo que se pode ver na comunicação do usuário com o Google, a empresa provavelmente irá alegar que, de acordo com o contrato, cabe ao usuário realizar a verificação de identidade, definir políticas de acesso, garantir a segurança da rede e proteger a chave API, tentando assim isentar-se de responsabilidade. Muitos usuários do Reddit apontaram que a origem do problema dessa violação de chave API pode estar no próprio Google, que teria relaxado as regras de confidencialidade dessas chaves, permitindo que os hackers tivessem oportunidade de agir.

Como um dos três desenvolvedores da empresa de software mexicana afetada, RatonVaquero pediu ao Google “que tenha misericórdia” e reclamou que a empresa nem mesmo possui medidas básicas de proteção contra uso anormal ou catastrófico.

De um gasto mensal de 180 dólares para mais de 82 mil dólares em apenas 48 horas, esse aumento de uso é realmente extremo e anormal.

Ele também afirmou que o Google deveria oferecer serviços de congelamento temporário para revisão, além de limites de consumo por API.

Após investigar esse incidente de cobrança exorbitante, foi possível perceber que:

Usuários pessoais ou comuns do Gemini têm limites de uso, que não ultrapassam uma taxa fixa mensal;

Desenvolvedores ou usuários do Google AI Studio na versão empresarial podem configurar quotas (limitando solicitações diárias ou por minuto);

Usuários do Google Cloud (Vertex AI) podem definir alertas de orçamento, recebendo notificações ao atingir determinado valor.

RatonVaquero afirmou que em breve voltará a conversar com o suporte do Google e já registrou um boletim de ocorrência por crime cibernético junto ao FBI. Atualmente, só pode esperar que o Google adote uma postura mais flexível. Ele planeja fornecer logs de uso anormal, que aumentaram 455 vezes nesta ocasião, e solicitar uma redução de custos por meio de uma solicitação de boa-fé, como vítima de um incidente de segurança cibernética.