事件概述 - 一名格鲁吉亚学生因意外泄露Google Cloud的Gemini API Key，导致在数月内产生高达55,444美元（约40万人民币）的账单 [1][3] - 该学生最初仅计划使用谷歌提供的300美元免费额度进行学习实验，实际仅消耗80美元 [3] - 事件在开发者社区引发广泛关注和讨论后，谷歌最终决定全额豁免该笔账单 [9] 账单产生过程 - 账单分三波累计：6月产生732美元，8月产生31,000多美元，9月1日至7日又增加21,000多美元 [4][7] - 在API Key暴露后的两天内，攻击者发起了1.42万次API请求，虽全部失败但仍被计费 [4] - 因学生信用卡已过期，6月份的账单未能成功扣款 [4] 云服务计费机制与风险 - 谷歌云平台采用“先消耗，再结算”的计费模式，涉及复杂因子计算，数据延迟一天以上，导致实时硬性消费上限难以实现 [8] - 开发者社区质疑为何只能设置消费提醒而不能设定硬性消费上限 [2][8] - 有建议提出可通过设置API调用“配额”或限制服务账号的IP范围来规避风险 [8] 开发者社区反应与建议 - 许多开发者对事件表示同情，并分享类似经历，例如有公司账户曾因密钥泄露产生2万美元的账单 [8] - 开发者建议采取多项安全措施，包括使用gitleaks等工具扫描代码、开启双因素认证（2FA）、及时检查账户是否有滥用行为等 [8] - 社区普遍认为，对于个人开发者而言，此类事件可能造成毁灭性打击 [8] 事件最终影响 - 该事件为所有云服务用户，尤其是学生和个人开发者，敲响了安全警钟 [9] - 学生最终对社区的支持和谷歌账单团队的服务表示感谢 [9]