澳洲一名人工智能顧問設定7美元的雲端預算,卻在一夜之間收到超過1.8萬美元的谷歌雲端(Google Cloud)天價帳單。事件起因於一個已發布專案中被遺忘的公開API金鑰,遭攻擊者惡意利用。
- 本文核心內容:
- 事件主角:澳洲AI顧問戴維斯(Jesse Davies)
- 涉及金額:帳單高達25,672澳元(約18,391美元)
- 根本原因:公開但未分享的API金鑰遭濫用
- 平台問題:9項安全功能預設關閉,消費上限自動升級
預算上限為何失效?
戴維斯(Jesse Davies)在LinkedIn上詳述,他已遵循多項安全最佳實踐,但一個被遺忘在Cloud Run服務中的API金鑰成為致命弱點。攻擊者找到該服務的公開URL,利用儲存在容器內的純文字金鑰發送超過6萬次請求。戴維斯指出,谷歌自身的代理伺服器竟自動為這些惡意請求簽署,導致費用失控。
谷歌的「自動升級」陷阱
更令用戶不安的是,谷歌在未通知的情況下,自動將戴維斯的帳戶等級提升。當消費超過1,000美元門檻時,原有的2,000美元上限被自動調高至2萬至10萬美元之間,形同為攻擊者敞開大門。雖然此設計或為方便服務擴展,卻讓用戶承擔了不可預見的巨大財務風險。
經過數日溝通,谷歌似乎已免除這筆費用,銀行也退還了已扣款項。然而,此類「帳單奇襲」並非孤例,多名開發者在網上分享了類似的慘痛經歷。網絡安全公司Truffle Security Co.警告,谷歌將舊專案金鑰自動轉換為Gemini API憑證的政策,可能導致更多類似的帳單恐怖故事上演。
來源:Tom’s Hardware
封面來源:2025年4月29日星期二,在加州門洛帕克舉行的人工智慧開發者大會LlamaCon 2025上,展示了Google雲端的標誌。美聯社