问题的严重性远不止于几个轶事。有报道描述,一些此前每月只产生小额费用的账户,突然因使用高成本AI模型而遭遇费用剧增,其自动系统将支出限额提升至高达10万美元,并允许未授权的使用在预设的预算上限面前继续发生 。
如果一个API密钥被泄露,标准的安全应对措施是立即将其撤销。但安全公司Aikido在2026年5月发布的研究显示,开发者即便删除了一个已泄露的Google API密钥,攻击者最长仍可继续使用它达23分钟之久 。研究人员证实,从发起删除操作后,身份验证在整个窗口期内都能成功,中位有效时间约为16分钟,最大观察窗口为23分钟
。
之所以存在这个空档,是因为密钥的删除并非在Google所有基础设施中同步生效,而是分阶段传播的 。对于一个通过自动化疯狂烧钱进行付费API调用的攻击者而言,23分钟足以造成巨大的财务损失。这一发现直接违背了安全控制应在触发时立即生效的基本原则——对任何处理计费事件的平台来说,这都是一项基本要求。
或许最结构性的问题在于Google Gemini API计费层级的设计。该系统基于支付历史自动升级使用层级:第1层每月上限为250美元,第2层为2,000美元,第3层则高达20,000至100,000美元以上 。随着累计消费额和账户年龄的增长,用户可能会被自动升级。2026年,触发升级的资格门槛还被进一步降低了
。
关键在于,据The Register报道,即便在向几位备受瞩目的受害者进行退款后,Google仍表示将坚持其自动扩大用户支出限额的政策 。这意味着,一个期望享受250美元月消费上限的用户,可能会在没有明确同意或充分警告的情况下,面临高出几个数量级的费用。
在2026年3月,Google推出了“Project Spend Caps”项目,这是对公众强烈抗议的直接回应。该功能允许开发者在AI Studio中按项目设定Gemini API的每月美元消费上限 。然而,这一补救措施附带了一个重大限制:大约10分钟的执行延迟,在此期间,用户需为产生的任何费用负责
。对于每分钟处理成千上万次API调用的应用程序而言,10分钟的无上限计费代表着实质性的财务风险。
de Souza的指导与Google自身平台表现之间的脱节,揭示了企业AI领域一个更广泛的挑战。这位高管的建议——从一开始就嵌入安全和治理,避免影子AI,要求可审计性——是正确且必要的。但正如TechCrunch在报道这一确切矛盾时所指出的,“每个人都在实时应对AI安全——即便是Google” 。
对于在AI平台上构建应用的组织来说,Gemini API事件提供了几个实用的教训。首先,API密钥管理和凭证卫生仍是基础:被嵌入客户端代码中的密钥、由Firebase等服务自动配置但未设置适当限制的密钥,或在项目上不受限制的密钥,一定会被发现和利用。其次,必须将计费治理视为一项安全功能。一个有10分钟执行延迟的消费上限,或是无视用户意图的自动升级功能,并非真正有效的控制手段。第三,可审计性需要的不仅仅是日志记录——它要求诸如凭证注销等安全操作能在服务提供商的所有基础设施上即时、普遍地生效。