格鲁吉亚学生泄露Gemini API密钥酿成55,444美元账单，谷歌最终豁免引热议

近期，一位来自格鲁吉亚的学生在开发者论坛中分享了一次令人痛心的经历：由于一次无心的疏忽，他不慎将Google Cloud的Gemini API密钥公开在GitHub上，导致在短短数月内遭到恶意滥用，最终生成了一张高达55,444美元（约合40万元人民币）的巨额账单。

这名学生崩溃地表示：“一个微小的失误，就足以让日常生活陷入噩梦般的境地。”

此事曝光后，迅速引发了广大程序员的关注与激烈讨论。有人质疑谷歌为何不提供「硬性消费上限」功能，有人则分享了自己团队曾遭遇的类似陷阱，还有人为这名学生鸣不平，强烈呼吁谷歌应强化针对用户的保护措施。

一场“免费额度”的噩梦

事件的起因极为简单。

这名学生使用学校邮箱注册了Google Cloud，计划利用谷歌提供的300美元免费额度进行一些学习实验——实际上，他只消耗了80美元，还剩余220多美元。

然而，在6月6日，他意外地将Gemini API密钥提交到了GitHub上。当时他误以为仓库是私有的，但实际上在一次提交中泄露了密钥，自身却未察觉。更糟糕的是，由于正值暑假，他几乎从未检查学生邮箱，因此完全未能意识到问题所在。

直到9月7日，一名GitHub用户发来消息，提醒他API密钥已长时间暴露并被他人滥用。可此时为时已晚：当他登录账号查看时，账单金额已飙升至55,444美元。

根据这名学生的叙述，账单分三阶段累计：

● 6月：732美元（因信用卡已过期，扣款失败）

● 8月：31,000多美元

● 9月1日 - 7日：又增加21,000多美元

更令人震惊的是，短短两天内，攻击者就对API发起了1.42万次请求，尽管全部失败，但仍被计费。

与谷歌交涉的结果：同情，但不取消

发现问题后，这名学生立即撤销了API密钥，联系了Google Cloud账单支持团队，甚至向警方报案。他提交了完整证据，包括使用日志、GitHub链接、截图、API密钥撤销记录等。

“账单依旧有效，不会取消或修改。”

然而，谷歌的最终回复如此。从态度上看，谷歌始终保持着礼貌与同情，但也明确表示决定已无法更改。随后，该学生收到警告：若10天内未付款，欠款将被移交收债机构，并可能产生额外费用。

对于一个来自格鲁吉亚、当地日均收入约15美元的学生而言，他坦言这笔账单相当于他数十年的收入：“这不是我能承担的金额，我甚至从未想过一串API密钥会让我背负如此沉重的债务。我不是想逃避责任，但我不愿因一些自己未曾做过的事情而毁掉人生。”

开发者们的讨论：为什么没有“硬性上限”？

这个帖子一经发布，便在开发者社区引发轩然大波。许多开发者的第一反应是：为什么谷歌只能设置提醒，而不能实施真正的消费限制？

有开发者抱怨道：“为什么我可以设置提醒，却不能设定硬性上限？我曾咨询Google支持，但他们的回复千篇一律，宛如AI生成的模板。”

对此，另一位用户从计费机制角度解释原因：GCP的计费基于「先消耗，再结算」模式，涉及多种条件计算（如是否免费层、跨区域流量等）。这些数据需经过SKU使用量 → 复杂因子计算 → 推送到账单视图，通常延迟一天以上，因此实时硬性限制几乎无法实现。

不过，也有人提出了解决方案：

“可以通过「配额（Quota）」限制API调用次数，但这并非适用于所有场景。我的习惯是限制服务账号的IP范围（IPv4/IPv6），同时在提交代码前使用gitleaks等工具扫描，避免密钥泄露。”

同时，讨论中不少开发者表达了对这名学生的深切同情：

“我们都是专业人士，谁没犯过错？人生就是不断学习的过程。我的建议是：先确保密钥已销毁，开启双因素认证（2FA），检查账户是否被滥用运行虚拟机或挖矿等。然后，持续联系谷歌账单支持，坚持沟通，明确表明这是误操作导致的异常账单，自身无力支付。要诚实说明财务状况，保存所有沟通记录，必要时不断升级申诉。”

“我同事也曾泄露过一次密钥，所幸我们在几小时内发现。那是公司账户，我们花费2万美元买了个教训。后续清理环境的工作交到我手中，过程虽有趣，但对个人开发者而言，这简直是毁灭性打击。”

最终结果：谷歌全额豁免

随着帖子广泛传播，越来越多开发者关注此事。最终在9月25日，这名学生发布了最新进展：

经过Google Cloud账单团队的再次复核，5.5万美元的欠款被全额豁免！

他在原帖中更新写道：“我想向所有表达支持和提供建议的人表示最深切的感谢。你们的鼓励对我至关重要。同时也要感谢谷歌账单团队的服务。”

尽管如此，此次事件仍为所有云服务用户（尤其是学生和个人开发者）敲响了警钟。

正如这名学生所言，“一个小小的错误，就可能把生活变成噩梦”——对于所有正在学习或使用云服务的开发者来说，这绝非危言耸听。

参考链接：https://www.reddit.com/r/googlecloud/comments/1noctxi/student_hit_with_a_5544478_google_cloud_bill/