“睡前设 10 好意思元预算预警潍坊预应力钢绞线厂家,效能醒悟来收到 Google Cloud 的天价欠费账单。”
近日,斥地者 venturaxi 堕入了场令东谈主崩溃的 Google Cloud 天价账单风云,根源直指 Gemini API 密钥被坏心挥霍。
不外与过往诸多遇到雷同窘境却斥地者不同,此次,venturaxi 在多轮筹商与拉锯之后,终获取了全额补偿。但这场亏蚀达 25672.86 好意思元(约 17.5 万元)的阅历,让他同感身受,也让他决定把通盘经由公开出来。
在 Reddit、LinkedIn 等平台,他不仅复盘了事情经过,还系统梳理了平台默许树立中的隐患,并整理出套可推行的护清单。面是给斥地者避坑,另面,亦然对 Google 面前计费与安全机制的次平直质疑。
老斥地者也未能避让 Gemini API 被盗的“坑”
venturaxi 并非外行斥地者。
他提到,我方还是在 Google AI Studio 中构建了过 120 个应用圭表,平方里对 Google 平台的本事新也保抓着度关切:他会在 Google 新的新日记发布时仔细研读,也会熬夜不雅看关系直播。
此外,他在容貌斥地时,会为每个容貌树立立的 API 密钥和计费账户。同期,在可用的地齐开启双重考证(2FA),还启用了云审计日记。
从他我方的尺度来看,这些还是算是“该作念的齐作念了”。
让他万万莫得思到,我方的严慎依然没能躲过劫——周前的个夜晚,有东谈主运用他几个月前从 AI Studio 发布的 Cloud Run 就业,报复了其公开 URL。
要津的是,就业容器中以明文环境变量体式存储的 API Key,被平直拿来调用 Gemini 接口——等于由 Google 我方的系统代为签署了报复肯求。值得提的是,这个公开 URL 从未在职何地共享或被索引,却依然被报复者找到。
事情始末
据 venturaxi 描述,那天更阑,报复者“攻破”了他的 Google Cloud API 密钥,并以每分钟约 1000 次的频率,狂调用他的 Gemini Pro Image 至极他关系 API,夜之间发起了多达 60000 次图像生成肯求。
直到二天早上 9:30,蓝本树立了 10 好意思元预算提醒的 venturaxi 才收到谷歌的邮件提醒——“已达到您 10 好意思元预算的 150”。而此时适度台高傲的破钞,还是达到 3010 好意思元,况兼还在抓续飞腾。
35 分钟,venturaxi 尝试关闭计费账户时,却被谷歌拒,直到余额付清;
53 分钟:账单的金额还是达 21,000 好意思元。
35 分钟,venturaxi 尝试关闭计费账户时,却被谷歌拒,直到余额付清;
53 分钟:账单的金额还是达 21,000 好意思元。
在简直望的情况下,venturaxi 又去 X 上发了条帖子。其示意,尽管独一 4 个粉丝,却在 15 分钟内收到了 Google 的私信。
这件事自己,就还是弥漫讽刺。
波三折的禀报之路,信任早已坍塌
事情并莫得就此实现。
接着又问:“你能提供张账户被封的禀报截图吗?”潍坊预应力钢绞线厂家
venturaxi 回答:“我莫得被封号。”
这位司理又问,“你有莫得收到任何干于疑似挥霍的邮件?”
venturaxi 称,“哈,我倒是但愿有。”
紧接着,venturaxi 如实向对提供了事情发生的无缺时期线,效能却在五分钟后收到了谷歌的违纪禀报,称他的容貌因涉嫌资源劫抓类挥霍举止已被暂停,条目他提交禀报并解说触发原因。
后续筹商中,谷歌面又发来音信,商榷他是否使用买卖账户,并条目他提供组织称呼以核实扶植权限,这让 venturaxi 失去耐烦,其平直回怼谈:“在你们暂停了我的账户后,我的信任还是没了。我不思让你们追悼去揣摸把我分到哪个类别能够给我升。我思要的是你们给我些谜底,并成立这个我端堕入的烂摊子。”
这条音信发出后,LinkedIn 上的筹商便再复兴。
好在后续,惩办此时的谷歌司理阐发了事件如实是核实后的挥霍举止,并示意正在惩办全额用度变嫌,事情终于有了变嫌。
默许树立形同虚设
在后续复盘时,venturaxi 直言:“这不是个‘你应该开启 2FA’的故事。我树立的切齐是正确的。失败的是谷歌默许树立。共有九处。”
他共转头出了 9 个要津问题。这些树立要么是默许关闭的,要么是默许放到宽,而且简直莫得主动指示机制:
API 密钥鸿沟:关闭。默许是不受鸿沟的。任何 IP、任何开首、任何就业。你须手动为每个密钥开启鸿沟。
每月支拨上限:空缺。默许莫得上限。2026 年 3 月之前不存在此,是以该日历之前创建的任何密钥仍然莫得任何树立,除非你之后动过它。
Gemini API 日记:关闭。日记记载在 AI Studio 中是个单的开关,但默许不开启。还需要个举止的计费账户, 是以淌若你在事件中禁用了计费,你会立即失去日记打听权限。
API 密钥鸿沟:关闭。默许是不受鸿沟的。任何 IP、任何开首、任何就业。你须手动为每个密钥开启鸿沟。
每月支拨上限:空缺。默许莫得上限。2026 年 3 月之前不存在此,是以该日历之前创建的任何密钥仍然莫得任何树立,除非你之后动过它。
Gemini API 日记:关闭。日记记载在 AI Studio 中是个单的开关,但默许不开启。还需要个举止的计费账户, 是以淌若你在事件中禁用了计费,你会立即失去日记打听权限。
后付费计费:默许树立。后付费意味着在账单生成之前潍坊预应力钢绞线厂家,你向计费账户提供了限的信用敞口。预支费在 2026 年 3 月才成为个选项。
AI Studio 发布应用的 Cloud Run 身份考证:禁用。“发布”按钮部署你的应用时,调用者 IAM 是禁用的,你的 API 密钥行为明文环境变量存储。默许公开。
“你的 AI 支拨”会诊:未激活。谷歌领有的好的单屏归因器具是个预览,你须手动激活。莫得东谈主会把它给你。
预算特别检测:不智能。你我方界说阈值。它不会代表你自动检测特别破钞形态。
Gemini 诞妄反应:包含你的 API 密钥。当肯求失败或账户被暂停时,Gemini 的默许诞妄音信会复返 API 密钥值。淌若你的应用浮现原始诞妄,你正在通过我方的日记知道密钥。
后付费计费:默许树立。后付费意味着在账单生成之前,你向计费账户提供了限的信用敞口。预支费在 2026 年 3 月才成为个选项。
AI Studio 发布应用的 Cloud Run 身份考证:禁用。“发布”按钮部署你的应用时,调用者 IAM 是禁用的,你的 API 密钥行为明文环境变量存储。默许公开。
“你的 AI 支拨”会诊:未激活。谷歌领有的好的单屏归因器具是个预览,你须手动激活。莫得东谈主会把它给你。
预算特别检测:不智能。你我方界说阈值。它不会代表你自动检测特别破钞形态。
Gemini 诞妄反应:包含你的 API 密钥。当肯求失败或账户被暂停时,Gemini 的默许诞妄音信会复返 API 密钥值。淌若你的应用浮现原始诞妄,你正在通过我方的日记知道密钥。
venturaxi 示意,这些树立,钢绞线厂家关于当今正在使用 AI Studio、Vertex、Gemini 的斥地者来说,大大批依然处于失败情状。
他感叹,这是他但愿在切发生之前就能启动遍的清单,而所有操作旅途,他齐在本周通过及时账户进行了考证,确保每步齐真实可行。
澳新银行的劝诱操作,雪上加霜
手机号码:13302071130在这场天价账单风云中,venturaxi 所使用的澳新银行没帮上忙,也让他特别空洞。
当晚,谷歌对 venturaxi 的银行卡发起了密集的扣费肯求,效能有的扣费告捷,有的扣费失败,举座时期线如下:
晚上 10:00:批准 100 好意思元
晚上 10:35:批准 200 好意思元
晚上 10:51:批准 500 好意思元
晚上 11:02:批准 1,000 好意思元
晚上 11:33:拒 2,000 好意思元
凌晨 12:24:拒 4,000 好意思元
凌晨 1:26:拒 6,000 好意思元
凌晨 2:32:批准 8,000(抑遏了三笔较小的,然后放行了大的笔)
后这笔 8000 好意思元的付款,平直清空了 venturaxi 账户里的一齐余额,致随后又有笔 10000 好意思元的扣费因资金不及被拒。
新发扬
经过抓续的筹商,鸿沟面前,venturaxi 还是阐发,25672.86 好意思元的用度已被一齐除,而此前 Google 分 5 次逐渐尝试扣除的 9800 好意思元,也还是送还到账。
不外,venturaxi 仍然不得不刊出了我方的信用卡,时间也因为此次事件致多笔账单被平直扣款失败。
他示意,果然要津的问题,依然莫得得到任何解说,比如:
Google 的账单默许阈值不错路升到 10,000 好意思元,而我方从未手动树立过这个上限。
预算提醒不会罢手扣费,只会发封邮件。淌若“使用量暴涨 411,000”齐不算特别提醒,那什么才算?
API Key 挥霍莫得任何自动风控机制。从个从未接近过该使用量的账户,倏得出现每分钟 1,000 次肯求,系统莫得任何标记,也莫得暂停就业。
ANZ 银行在同笔商户、同会话中先后抑遏了 2000、4000、6000 好意思元的交往,但后却放行了 8000 好意思元。这到底是什么风控逻辑?反复尝试就放行大笔吗?
在捕快时间不会自动冻结账户。比及我方终于被见知若何罢手扣费时,他再问“能弗成跟踪开首”,却还是法作念到——因为按照他们的调换操作后,关系才调还是被关闭。
Google 的账单默许阈值不错路升到 10,000 好意思元,而我方从未手动树立过这个上限。
预算提醒不会罢手扣费,只会发封邮件。淌若“使用量暴涨 411,000”齐不算特别提醒,那什么才算?
API Key 挥霍莫得任何自动风控机制。从个从未接近过该使用量的账户,倏得出现每分钟 1,000 次肯求,系统莫得任何标记,也莫得暂停就业。
ANZ 银行在同笔商户、同会话中先后抑遏了 2000、4000、6000 好意思元的交往,但后却放行了 8000 好意思元。这到底是什么风控逻辑?反复尝试就放行大笔吗?
在捕快时间不会自动冻结账户。比及我方终于被见知若何罢手扣费时,他再问“能弗成跟踪开首”,却还是法作念到——因为按照他们的调换操作后,关系才调还是被关闭。
启示
关于以上问题,venturaxi 并莫得谜底。
然则基于此次阅历,他转头了套至少对我方而言行之有的救急法,也借此共享给多有相似遇到的斥地者:
先,立即舍弃 API 密钥,将每月支拨上限设为 0,后再禁用计费——切记,在索求 IAM 和日记浏览器的关系笔据之前,对不要禁用计费,不然会立即失去取证权限;
其次,时期给银行电话,条目立即对银行卡进行冻结,并舍弃所有待惩办的授权,不要依赖银行应用的送禀报,它们可能会静默失败,要手动查验账户动态;
然后,在外交平台公斥地帖,哪怕粉丝很少,也可能比官扶植渠谈快获取升惩办;
先,立即舍弃 API 密钥,将每月支拨上限设为 0,后再禁用计费——切记,在索求 IAM 和日记浏览器的关系笔据之前,对不要禁用计费,不然会立即失去取证权限;
其次,时期给银行电话,条目立即对银行卡进行冻结,并舍弃所有待惩办的授权,不要依赖银行应用的送禀报,它们可能会静默失败,要手动查验账户动态;
然后,在外交平台公斥地帖,哪怕粉丝很少,也可能比官扶植渠谈快获取升惩办;
至此,venturaxi 的阅历,给所有使用谷歌关系斥地平台的斥地者敲响了警钟。venturaxi 示意,他之是以公开我方的阅历,便是但愿能有多斥地者看到这些教会,避再有东谈主像他样,因为谷歌的默许树立疏漏和自身的核定,遭受如斯浩瀚的亏蚀。他以致半开打趣地说:“Thomas Kurian(谷歌云 CEO)雇我吧,我会偿帮你树立些果然的律例。”
参考:
https://old.reddit.com/r/googlecloud/comments/1ssagtw/went_to_bed_with_a_10_budget_alert_woke_up_to/
相关词条:罐体保温施工 异型材设备 锚索 玻璃棉 保温护角专用胶1.本网站以及本平台支持关于《新广告法》实施的“极限词“用语属“违词”的规定,并在网站的各个栏目、产品主图、详情页等描述中规避“违禁词”。
2.本店欢迎所有用户指出有“违禁词”“广告法”出现的地方,并积极配合修改。
3.凡用户访问本网页,均表示默认详情页的描述,不支持任何以极限化“违禁词”“广告法”为借口理由投诉违反《新广告法》,以此来变相勒索商家索要赔偿的违法恶意行为。
