In einem viel zitierten Fall löste eine automatische Kapazitätserweiterung bei einem Google-Cloud-Kunden innerhalb weniger Minuten Kosten von 17.000 Dollar aus . Das IT-Magazin The Register berichtete über mehrere Kunden, deren geleakte API-Schlüssel zu fünfstelligen Rechnungen für teure KI-Inferenz-Workloads führten, und stellte fest, dass Google die Opfer erst entschädigte, nachdem die Redaktion nachgehakt hatte
. Ein Entwickler sagte dem Magazin, er sei von Googles Richtlinie, Abrechnungsstufen ohne ausdrückliche Zustimmung automatisch hochzustufen, „kalt erwischt“ worden („blindsided“)
.
Das Problem war weitaus größer als ein paar Einzelfälle. Berichte beschrieben Konten, die zuvor nur geringe monatliche Gebühren aufwiesen und dann plötzlich von massiven Kostenspitzen getroffen wurden, die mit teuren KI-Modellen zusammenhingen. Automatisierte Systeme erhöhten die Ausgabenlimits auf bis zu 100.000 Dollar und ließen die unautorisierte Nutzung trotz vorher festgelegter Budgetobergrenzen weiterlaufen .
Wenn ein API-Schlüssel kompromittiert wird, ist die übliche Sicherheitsreaktion, ihn sofort zu sperren. Doch das Sicherheitsunternehmen Aikido veröffentlichte im Mai 2026 eine Untersuchung, die zeigte: Selbst nachdem ein Entwickler einen kompromittierten Google-API-Schlüssel löscht, können Angreifer ihn noch bis zu 23 Minuten lang weiterverwenden . Die Forscher bestätigten, dass die Authentifizierung für dieses gesamte Zeitfenster nach der Löschung noch erfolgreich war, mit einem Median von etwa 16 Minuten und einem beobachteten Maximum von 23 Minuten
.
Diese Lücke entsteht, weil die Löschung eines API-Schlüssels nicht gleichzeitig in der gesamten Google-Infrastruktur wirksam wird, sondern stufenweise propagiert wird . Für einen automatisierten Angreifer, der kostenpflichtige API-Aufrufe durchführt, sind 23 Minuten mehr als genug, um erheblichen finanziellen Schaden anzurichten. Dieses Ergebnis widerspricht direkt dem Grundsatz, dass Sicherheitskontrollen sofort greifen müssen, wenn sie ausgelöst werden – eine basale Erwartung an jede Plattform, die abrechnungspflichtige Ereignisse verarbeitet.
Das vielleicht strukturellste Problem liegt im Design der Abrechnungsstufen für die Gemini-API. Das System arbeitet mit Nutzungsstufen, die basierend auf dem Zahlungsverlauf automatisch eskalieren: Stufe 1 deckelt bei 250 Dollar pro Monat, Stufe 2 bei 2.000 Dollar und Stufe 3 reicht von 20.000 bis über 100.000 Dollar . Nutzer können automatisch hochgestuft werden, wenn ihre kumulierten Ausgaben und das Kontoalter wachsen, wobei die Qualifikationsschwellen 2026 gesenkt wurden
.
Entscheidend ist, dass Google laut The Register selbst nach der Erstattung mehrerer prominenter Opfer erklärte, an der Politik festzuhalten, die Ausgabenlimits der Nutzer automatisch zu erweitern . Das bedeutet: Ein Nutzer, der sich mit einer erwarteten Obergrenze von 250 Dollar anmeldete, konnte sich plötzlich einer Belastung in ganz anderer Größenordnung ausgesetzt sehen – ohne explizite Zustimmung oder angemessene Warnung.
Als direkte Reaktion auf die öffentliche Empörung führte Google im März 2026 die „Project Spend Caps“ ein. Mit dieser Funktion können Entwickler in AI Studio monatliche Dollar-Limits für die Gemini-API-Nutzung pro Projekt festlegen . Allerdings kommt die Lösung mit einem bedeutenden Haken: einer Durchsetzungsverzögerung von etwa 10 Minuten, in der die Nutzer für alle anfallenden Kosten weiterhin finanziell haften
. Für Anwendungen, die Tausende API-Aufrufe pro Minute verarbeiten, stellen 10 Minuten ungedeckelter Abrechnung ein materielles finanzielles Risiko dar.
Die Diskrepanz zwischen de Souzas Ratschlägen und der Leistung von Googles eigener Plattform verdeutlicht eine größere Herausforderung für KI im Unternehmenseinsatz. Die Empfehlung des Managers – Sicherheit und Governance von Anfang an einbetten, Shadow AI vermeiden, Prüfbarkeit einfordern – ist sinnvoll und notwendig. Aber wie TechCrunch in seiner Berichterstattung über genau diesen Widerspruch feststellte: „Jeder navigiert KI-Sicherheit in Echtzeit – sogar Google“ .
Für Organisationen, die auf KI-Plattformen aufbauen, bieten die Vorfälle rund um die Gemini-API mehrere praktische Lehren. Erstens bleiben API-Schlüsselverwaltung und Zugangsdaten-Hygiene grundlegend: Schlüssel, die in clientseitigem Code eingebettet, automatisch von Diensten wie Firebase ohne angemessene Einschränkungen bereitgestellt oder in Projekten uneingeschränkt belassen werden, werden gefunden und ausgenutzt. Zweitens muss die Governance der Abrechnung als Sicherheitsfunktion betrachtet werden. Eine Ausgabenobergrenze mit 10-minütiger Durchsetzungsverzögerung oder automatische Upgrades, die die Nutzerintention übergehen, sind keine echte Kontrolle. Drittens erfordert Prüfbarkeit mehr als nur Protokollierung – sie erfordert, dass Sicherheitsaktionen wie die Sperrung von Zugangsdaten sofort und universell in der gesamten Infrastruktur des Anbieters wirksam werden.
De Souzas Warnung, dass die durchschnittliche Zeit zwischen einem ersten Einbruch und der nächsten Angriffsphase auf 22 Sekunden gesunken ist, unterstreicht die Dringlichkeit . Wenn sich die Angriffsfläche auf Modelle, Datenpipelines und Agenten ausdehnt, schrumpft die Fehlertoleranz. Eine 23-minütige Verzögerung bei der Schlüsselsperrung oder eine automatische Stufenheraufsetzung, die während einer laufenden Kompromittierung greift, sind keine marginalen Unannehmlichkeiten – es handelt sich um ein Sicherheitsversagen, das finanziellen Schaden direkt ermöglicht.