最近，墨西哥一家仅 3 名开发者的小型创业团队，遭遇了一场因 api 密钥泄露引发的“财务灭顶之灾”。

团队创始人 RatonVaquero 在 Reddit 发帖求助，称其 Gemini API 密钥被盗用，48 小时内产生 82314.44 美元（约 56.8 万元人民币） 的天价账单，而他们正常月费仅 180 美元，暴涨 455 倍。

事件回顾

事件发生在 2 月 11 日至 12 日，攻击者利用泄露的密钥疯狂调用 Gemini 3 Pro 文本与图像服务，流量瞬间爆炸。

团队发现后立刻删除密钥、禁用 API、开启双重认证，并紧急向谷歌申诉，希望减免费用。但谷歌以共享责任模式为由拒绝，称平台只负责底层安全，密钥保管与费用由用户自行承担。

这不是个例

据 Truffle Security 监测，仅公开代码库中就有 超 2800 个谷歌 API 密钥可被恶意调用 Gemini。很多开发者误将密钥硬编码或上传公开仓库，加上谷歌云不强制设置消费上限，异常流量无法自动切断，风险被无限放大。

血泪教训：一个小小的密钥，真的能直接搞垮一家小公司

这起事件也给所有 AI 开发者敲响警钟：

• API 密钥就是公司的“财务钥匙”，必须像保护银行卡密码一样保护它

• 不要硬编码在代码里

• 不要上传到公开仓库

• 必须严格限制 IP 白名单

• 必须设置消费配额和预算告警

• 必须定期轮换密钥

否则，下一个被天价账单逼到绝境的，可能就是你。