Содержание
Разработчик пожаловался на кражу Gemini API key: за 48 часов злоумышленник накрутил $82 314,44 (это около 7,6 млн рублей по курсу 92 рубля за доллар). Обычно компания тратила на Gemini около $180 в месяц, а теперь владелец аккаунта говорит о риске банкротства.
Что именно произошло с биллингом Google Gemini
История всплыла на Reddit. Пользователь под ником RatonVaquero пишет, что их небольшая софтверная компания из Мексики получила счет, который не бьется с реальным использованием сервиса. По его словам, за двое суток аккаунт «сгенерировал» платежей на $82 314,44 при обычных $180 в месяц.
По описанию инцидента, вор использовал доступ к API, чтобы массово генерировать контент в Gemini 3 Pro — изображения и тексты. Сам пост с деталями владелец опубликовал здесь: обсуждение инцидента на Reddit.
Как отреагировал владелец ключа и что говорит поддержка
После обнаружения списаний владелец пишет, что уже «закрыл дверь после кражи». Он удалил скомпрометированный ключ, отключил Gemini API, провернул ротацию учетных данных, включил 2FA, ужесточил IAM и открыл обращение в поддержку.
Но первая обратная связь от представителя Google, по словам автора, звучит неприятно: списания, вероятно, не отменят. В переписке, которую пересказывает разработчик, Google опирается на модель «shared responsibility» для облачных сервисов. То есть безопасность ключей и доступов лежит на клиенте.
Почему разработчики просят «предохранители» от аномальных трат
Ключевая претензия пострадавшего не в том, что у облака есть правила. Он говорит о том, что у Google нет базовых ограничителей, которые ловят «катастрофические аномалии» использования. В его случае скачок расходов составил 455x относительно обычного уровня, и это выглядит как сценарий, который можно детектить автоматически.
Речь про простые механики: временная заморозка сервиса до проверки и возможность ставить денежные лимиты на конкретный API. Для малого бизнеса разница между $180 в месяц и $82 000 за два дня — это не «неприятный сюрприз», а кассовый разрыв с закрытием компании.
Какие лимиты у Gemini зависят от типа аккаунта
По текущей логике продуктов Google ограничения различаются по уровню доступа. У потребительского Gemini, где пользователь платит фиксированную подписку, «случайно разогнаться» до десятков тысяч долларов нельзя — там действуют ограничения на использование.
В более «разработческом» контуре история сложнее:
- Google AI Studio (Dev/Business): доступны Quotas, то есть лимиты на число запросов в минуту или в день.
- Google Cloud (Vertex AI): можно настроить Budget Alerts, уведомления при достижении заэтой суммы.
Пострадавший как раз и указывает на разрыв между квотами «по запросам» и реальными «потолками по деньгам». Уведомление о бюджете тоже не всегда спасает, если атака идет быстро и ночью.
Есть и спорный момент про «секретность» API-ключей
В обсуждении на Reddit часть участников указывает на еще один нюанс. Они предполагают, что ключ мог оказаться «не таким секретом», как ожидают разработчики, из-за изменений в правилах обращения с ключами у Gemini. Отдельно эту тему разбирает Truffle Security: Google API keys weren’t secrets, but then Gemini changed the rules.
При этом в самой истории факт остается один: доступ к ключу получил посторонний, и биллинг улетел в космос. Кто именно виноват в утечке, по описанию поста пока не подтверждено.
Что с делом сейчас
Автор пишет, что планирует новый разговор с представителем Google. Параллельно он подал заявление о киберпреступлении в FBI. Еще он надеется передать логи аномальной активности и попросить «goodwill credits» как компенсацию жертве инцидента.
На момент публикации этой истории финального решения по списаниям нет. Но кейс уже стал показательной иллюстрацией: один украденный Gemini API key может превратить обычные $180 в месяц в $82 314 за 48 часов.
