मई 2026 में, Google Cloud के COO और सुरक्षा उत्पादों के अध्यक्ष फ्रांसिस डि सूजा ने AI अपनाने वाली कंपनियों के लिए एक स्पष्ट संदेश दिया: सुरक्षा, गवर्नेंस और ऑडिटेबिलिटी को AI प्लेटफ़ॉर्म में पहले दिन से ही शामिल किया जाना चाहिए। लॉस एंजिल्स के एक कार्यक्रम में बोलते हुए, उन्होंने ज़ोर देकर कहा कि "सुरक्षा कोई ऐसी चीज़ नहीं है जिसे आप बाद में जोड़ सकते हैं" और कंपनियों से एक "प्लेटफ़ॉर्म दृष्टिकोण" अपनाने का आग्रह किया जो इन नियंत्रणों को मूल रूप से एम्बेड करता है । उन्होंने विशेष रूप से "शैडो AI" के बारे में चेतावनी दी—जहाँ कर्मचारी बिना संगठनात्मक निगरानी के उपभोक्ता उपकरणों का उपयोग करते हैं—और हमले की बढ़ती सतह के बारे में बताया जिसमें अब मॉडल, डेटा पाइपलाइन और प्रॉम्प्ट शामिल हैं
।
लेकिन उसी हफ्ते, कई स्वतंत्र रिपोर्टों में बिल्कुल उसी तरह की 'बाद में जोड़ी गई' सुरक्षा विफलताओं का विवरण सामने आया जिनके खिलाफ डि सूजा चेतावनी दे रहे थे—और वह भी Google के अपने Gemini API प्लेटफ़ॉर्म पर। कार्यकारी के सार्वजनिक मार्गदर्शन और डेवलपर्स के वास्तविक अनुभव के बीच का यह अंतर, AI सुरक्षा की बयानबाजी और परिचालन वास्तविकता के बीच एक बड़ी खाई को दर्शाता है।
Gemini API का उपयोग करने वाले डेवलपर्स ने समझौता की गई API चाबियों की एक लहर की सूचना दी, जो मिनटों में बड़े पैमाने पर अनधिकृत शुल्क उत्पन्न कर रही थीं। Google के अपने डेवलपर फ़ोरम पर, एक उपयोगकर्ता ने ₹8,61,344 (~$10,300) के विवादित शुल्क का दस्तावेज़ीकरण किया, जो Firebase द्वारा ऑटो-प्रोविज़न की गई एक Android API कुंजी से जुड़ा था—एक कुंजी जो कभी भी Gemini तक पहुँचने के लिए नहीं थी, लेकिन जब प्रोजेक्ट पर Generative Language API सक्रिय किया गया तो चुपचाप सक्षम हो गई । एक अन्य डेवलपर ने मूल रूप से 2022 में लीक हुई क्लाइंट-साइड कुंजी से $4,368 के बिल की सूचना दी
।
एक बहुचर्चित मामले में, एक Google Cloud ग्राहक के खाते में एक स्वचालित क्षमता अपग्रेड ने मिनटों में $17,000 का शुल्क लगा दिया । द रजिस्टर ने कई ग्राहकों का विवरण दिया जिनकी लीक हुई API चाबियों से महंगे AI इंफ़्रेंसिंग कार्यभार के लिए पाँच अंकों के बिल आए, और कहा कि Google ने पीड़ितों को तभी भुगतान किया जब प्रकाशन ने पूछताछ की
। एक डेवलपर ने द रजिस्टर को बताया कि वे Google की स्पष्ट सहमति के बिना बिलिंग टियर को अपने-आप अपग्रेड करने की नीति से "पूरी तरह अनभिज्ञ" थे
।
समस्या का पैमाना कुछ किस्सों से कहीं आगे तक फैला था। रिपोर्टों में ऐसे खातों का वर्णन किया गया जो पहले छोटे मासिक शुल्क उत्पन्न करते थे, अचानक उच्च-लागत वाले AI मॉडलों से जुड़े तीव्र स्पाइक्स की चपेट में आ गए, जहाँ स्वचालित सिस्टम ने खर्च सीमा को $100,000 तक बढ़ा दिया और पूर्व-निर्धारित बजट सीमा के बावजूद अनधिकृत उपयोग जारी रहने दिया ।
यदि कोई API कुंजी समझौता की जाती है, तो मानक सुरक्षा प्रतिक्रिया उसे तुरंत रद्द करना है। लेकिन सुरक्षा फर्म Aikido ने मई 2026 में शोध प्रकाशित किया जिसमें दिखाया गया कि एक डेवलपर द्वारा समझौता की गई Google API कुंजी को डिलीट करने के बाद भी, हमलावर इसे 23 मिनट तक उपयोग करना जारी रख सकते हैं । शोधकर्ताओं ने पुष्टि की कि डिलीशन शुरू होने के बाद पूरी खिड़की के दौरान प्रमाणीकरण सफल रहा, जिसमें औसत सक्रिय समय लगभग 16 मिनट और अधिकतम देखी गई खिड़की 23 मिनट थी
।
यह अंतर इसलिए मौजूद है क्योंकि कुंजी का विलोपन Google के सभी बुनियादी ढांचे में एक साथ नहीं, बल्कि चरणों में दिखता है । पेड API कॉल के ज़रिए हमला करने वाले एक स्वचालित हमलावर के लिए, 23 मिनट काफी वित्तीय नुकसान पहुँचाने के लिए पर्याप्त समय है। यह खोज सीधे तौर पर उस सिद्धांत का खंडन करती है कि सुरक्षा नियंत्रण को ट्रिगर होने पर तुरंत काम करना चाहिए—किसी भी ऐसे प्लेटफ़ॉर्म के लिए एक बुनियादी अपेक्षा जो बिलिंग घटनाओं को प्रोसेस करता है।
शायद सबसे संरचनात्मक मुद्दा यह है कि Google के Gemini API बिलिंग टियर कैसे डिज़ाइन किए गए हैं। यह सिस्टम उपयोग टियर पर काम करता है जो भुगतान इतिहास के आधार पर स्वचालित रूप से बढ़ते हैं: टियर 1 की सीमा $250 प्रति माह, टियर 2 की $2,000, और टियर 3 की $20,000 से लेकर $100,000 से अधिक तक होती है । जैसे-जैसे उनका संचयी खर्च और खाते की आयु बढ़ती है, उपयोगकर्ताओं को स्वचालित रूप से अपग्रेड किया जा सकता है, 2026 में कम योग्यता सीमाएँ पेश की गईं
।
महत्वपूर्ण बात यह है कि द रजिस्टर ने रिपोर्ट किया कि कई हाई-प्रोफाइल पीड़ितों को भुगतान करने के बाद भी, Google ने कहा कि वह उपयोगकर्ताओं की खर्च सीमाओं को स्वचालित रूप से बढ़ाने की अपनी नीति पर कायम रहेगा । इसका मतलब है कि एक उपयोगकर्ता जिसने $250 की सीमा की उम्मीद करते हुए साइन अप किया था, वह खुद को बिना स्पष्ट सहमति या पर्याप्त चेतावनी के, एक बहुत बड़े शुल्क के संपर्क में पा सकता है।
Google ने सार्वजनिक आक्रोश के सीधे जवाब में मार्च 2026 में 'प्रोजेक्ट स्पेंड कैप्स' पेश किया। यह सुविधा डेवलपर्स को AI Studio के अंदर प्रति प्रोजेक्ट Gemini API खर्च पर मासिक डॉलर की सीमा निर्धारित करने देती है । हालाँकि, यह समाधान एक महत्वपूर्ण चेतावनी के साथ आता है: लगभग 10 मिनट की प्रवर्तन देरी, जिसके दौरान उपयोगकर्ता किसी भी खर्च के लिए वित्तीय रूप से जिम्मेदार रहते हैं
। प्रति मिनट हज़ारों API कॉल प्रोसेस करने वाले एप्लिकेशन के लिए, 10 मिनट की अनकैप्ड बिलिंग भारी वित्तीय जोखिम का प्रतिनिधित्व करती है।
डि सूजा के मार्गदर्शन और Google के अपने मंच के प्रदर्शन के बीच का अंतर एंटरप्राइज़ AI में एक व्यापक चुनौती को दर्शाता है। कार्यपालक की सलाह—शुरू से सुरक्षा और गवर्नेंस एम्बेड करें, शैडो AI से बचें, ऑडिटेबिलिटी की माँग करें—सही और आवश्यक है। लेकिन जैसा कि TechCrunch ने इसी विरोधाभास के अपने कवरेज में उल्लेख किया, "हर कोई रीयल टाइम में AI सुरक्षा को समझ रहा है—यहाँ तक कि Google भी" ।
AI प्लेटफ़ॉर्म पर निर्माण करने वाले संगठनों के लिए, Gemini API घटनाएँ कई व्यावहारिक सबक प्रदान करती हैं। पहला, API कुंजी प्रबंधन और क्रेडेंशियल हाइजीन बुनियादी बने हुए हैं: क्लाइंट-साइड कोड में एम्बेड की गई, बिना उचित प्रतिबंधों के Firebase जैसी सेवाओं द्वारा ऑटो-प्रोविज़न की गई, या प्रोजेक्ट्स पर अप्रतिबंधित छोड़ी गई कुंजियाँ खोजी और शोषित की जाएँगी। दूसरा, बिलिंग गवर्नेंस को एक सुरक्षा कार्य के रूप में माना जाना चाहिए। 10 मिनट की प्रवर्तन देरी वाली खर्च सीमा या उपयोगकर्ता के इरादे को ओवरराइड करने वाले स्वचालित अपग्रेड वास्तविक नियंत्रण नहीं हैं। तीसरा, ऑडिटेबिलिटी के लिए सिर्फ लॉगिंग से अधिक की आवश्यकता होती है—इसके लिए आवश्यक है कि क्रेडेंशियल रद्द करने जैसी सुरक्षा कार्रवाइयाँ प्रदाता के बुनियादी ढांचे में तुरंत और सार्वभौमिक रूप से प्रभावी हों।
डि सूजा की चेतावनी कि प्रारंभिक उल्लंघन और हमले के अगले चरण के बीच का औसत समय गिरकर 22 सेकंड हो गया है, इस तात्कालिकता को रेखांकित करता है । जब हमले की सतह में मॉडल, डेटा पाइपलाइन और एजेंट शामिल हो जाते हैं, तो त्रुटि की गुंजाइश कम हो जाती है। 23 मिनट की कुंजी रद्द करने की देरी या एक सक्रिय समझौते के दौरान एक स्वचालित टियर अपग्रेड कोई मामूली असुविधा नहीं है—यह एक सुरक्षा विफलता है जो सीधे वित्तीय नुकसान को सक्षम बनाती है।
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Google Cloud के COO फ्रांसिस डि सूजा ने हाल ही में चेतावनी दी कि AI सुरक्षा, गवर्नेंस और ऑडिटेबिलिटी को शुरू से जोड़ना चाहिए—बाद में नहीं—लेकिन उसी हफ्ते, Google के अपने Gemini API पर डेवलपर्स को...
Google Cloud के COO फ्रांसिस डि सूजा ने हाल ही में चेतावनी दी कि AI सुरक्षा, गवर्नेंस और ऑडिटेबिलिटी को शुरू से जोड़ना चाहिए—बाद में नहीं—लेकिन उसी हफ्ते, Google के अपने Gemini API पर डेवलपर्स को... सुरक्षा शोधकर्ताओं ने पुष्टि की कि डिलीट की गई Google API कीज़ अगले 23 मिनट तक काम कर सकती हैं, जबकि कई डेवलपर्स ने मिनटों में $2,200 से $17,000 तक के अनधिकृत शुल्क की रिपोर्ट दी, जो अक्सर तभी वापस हुए जब...
Google ने इस विवाद के जवाब में मार्च 2026 में 'प्रोजेक्ट स्पेंड कैप्स' पेश किए, लेकिन इन कैप्स में भी 10 मिनट की देरी है जिसके लिए उपयोगकर्ता जिम्मेदार रहते हैं, और Google की खर्च सीमा अपने आप बढ़ाने की नीति...