54 ezer eurós Google Gemini számla: korlátozás nélküli Firebase kulcs okozott óriási kiadást
Egy korlátozás nélküli Firebase böngésző kulcs vezetett egy fejlesztőnél 54 ezer eurót meghaladó Gemini API számlához mindössze 13 óra leforgása alatt.
Váratlanul hatalmas, több mint 54 ezer eurós számlával szembesült egy felhasználó a Google Gemini API használata miatt — írja a Google AI Developers Forumon megjelent bejegyzés. A drámai költségnövekedés egy korlátozás nélküli Firebase böngésző kulcs miatt következett be, miután a felhasználó engedélyezte a Firebase AI Logic funkciót egy meglévő projektben.
A felhasználó szerint a forgalom nem a valós felhasználói aktivitásból származott, hanem automatizáltnak tűnt. A költségfigyelő és anomália riasztások csak több órás késéssel aktiválódtak, ekkor már 28 ezer euró fölött járt a számla. A Google Cloud ügyfélszolgálata végül elutasította a számla korrekcióját, mondván, hogy a használat érvényes volt, mivel a felhasználó projektjéből származott.
Változó szabályok az API kulcsok kezelésében
A Truffle Security blogja szerint a Google API kulcsok korábban nem voltak titkok, és a Google egy évtizeden át azt tanácsolta a fejlesztőknek, hogy ne kezeljék őket bizalmas adatként. A Gemini API bevezetésével azonban ez a szabály megváltozott, és az API kulcsokat már titokként kell kezelni.
A Google képviselője, Logan Kilpatrick a fórumon jelezte, hogy a Gemini API felhasználói számára már bevezettek számlázási korlátokat, amelyek alapértelmezetten havi 250 dollárnál leállítják a szolgáltatást. Emellett a projekt szintű költségkorlátok is beállíthatók. A Google tervei szerint hamarosan letiltják a korlátozás nélküli API kulcsok használatát a Gemini API-ban, és alapértelmezés szerint biztonságosabb hitelesítési kulcsokat generálnak az új felhasználók számára.
A felhasználó esete rávilágít az API kulcsok megfelelő korlátozásának és a költségfigyelő rendszerek beállításának kritikus fontosságára a felhőalapú szolgáltatások, különösen az AI API-k használatakor. A Google azt tanácsolja, hogy kerülni kell a kulcsok kliensoldali kódba helyezését, mivel azok nyilvános kitettsége jelentős költségeket okozhat, még a korlátozások ellenére is. A Google automatikusan észleli és letiltja a nyilvános weboldalakon láthatóvá vált kulcsokat.