Hacker News 中文摘要

RSS订阅

13小时内因无限制Firebase浏览器密钥访问Gemini API导致5.4万欧元激增 -- €54k spike in 13h from unrestricted Firebase browser key accessing Gemini APIs

文章摘要

开发者因未设置API限制的Firebase浏览器密钥被滥用,导致13小时内产生5.4万欧元账单,用于Gemini API请求。该事件提醒开发者需加强密钥管理。

文章总结

标题:13小时内突增5.4万欧元账单:未设API限制的Firebase浏览器密钥被用于Gemini请求

主要内容

一位开发者在Google AI开发者论坛发帖求助,称其团队在启用Firebase AI Logic后,遭遇了Gemini API的异常高额计费问题。具体情况如下:

  1. 事件背景

    • 该项目已创建一年多,最初仅用于Firebase身份验证。
    • 近期添加了一个简单的AI功能(根据文本提示生成网页片段),并启用了Firebase AI Logic。
  2. 问题描述

    • 启用新功能后,Gemini API使用量在短时间内(主要发生在夜间)激增,导致费用飙升至5.4万欧元以上。
    • 流量异常,与真实用户行为无关,疑似自动化攻击。
    • 团队发现后立即禁用API并更新凭证,但为时已晚。
  3. 其他细节

    • 虽然设置了80欧元的预算警报和成本异常警报,但警报延迟数小时才触发。
    • 团队联系Google云支持并提供日志分析,但Google认定这些费用有效,拒绝调整账单。
  4. 求助内容

    • 询问是否有其他开发者遇到类似问题。
    • 寻求除App Check、配额限制和服务器端调用外的其他防护建议。
    • 咨询是否有其他申诉途径。
  5. 相关讨论

    • 帖子还列出了论坛中其他关于Gemini API计费异常的讨论主题,显示类似问题并非个例。

核心问题:未设置API限制的Firebase浏览器密钥被滥用,导致高额账单,且Google目前未提供有效的解决方案或费用减免。

评论总结

评论总结:

1. 对Google的批评与失望

  • 主要观点:用户对Google未能及时发现异常API使用并采取限制措施表示震惊和失望,认为这与其机器学习服务提供商的形象不符。
  • 关键引用:
    • "That's fucking bonkers that nothing in the system could see this as unusual..."(评论1)
    • "This is by far the worst security incident Google has ever had..."(评论7)

2. API密钥安全问题

  • 主要观点:API密钥容易被泄露或滥用,建议采用更安全的替代方案(如实时加密支付)。
  • 关键引用:
    • "i'm thinking it's time we replaced api keys. some type of real time crypto payment maybe?"(评论2)
    • "Google also has historically treated API keys as non-secrets..."(评论5)

3. 云服务计费与限制问题

  • 主要观点:云服务缺乏硬性消费上限,导致用户面临高额账单,建议默认设置预算警报和限制措施。
  • 关键引用:
    • "It's super frustrating that this is the only option to realistically deal with this issue..."(评论6)
    • "There is no easy way to set a hard cap on billing on a project..."(评论10)

4. 技术限制与解决方案争议

  • 主要观点:实时计算成本的技术难度大,但用户认为云服务提供商应优先解决此问题。
  • 关键引用:
    • "I don't think there is one big cloud service provider that has hard limits instead of alerts."(评论15)
    • "It's mind boggling that features like this aren't prioritized."(评论12)

5. 欺诈动机的疑问

  • 主要观点:用户对欺诈者滥用生成式AI服务的动机表示困惑。
  • 关键引用:
    • "what's the payoff for fraudsters in getting access to a generative AI service..."(评论18)

6. 法律与舆论压力

  • 主要观点:建议通过法律途径或舆论施压解决问题。
  • 关键引用:
    • "Take them to court."(评论22)
    • "As always, you will need to make lots of noise on here..."(评论16)

总结:

评论普遍批评Google在API安全和计费管理上的不足,呼吁改进密钥安全性和设置硬性消费上限。部分用户认为技术限制是合理的,但更多人认为云服务提供商应优先解决这些问题。少数评论探讨了欺诈动机,并建议通过法律或舆论施压解决争议。