天塌了！小团队 48 小时欠 56 万，大厂拒绝免单。这是谁的锅？

一个 API 密钥，48 小时，让一个三人小创业公司濒临破产。这不是段子，是发生在谷歌 Gemini 开发者身上的真实悲剧。

团队创始人 RatonVaquero 在 Reddit 发帖求助，称其 Gemini API 密钥被盗用，48 小时内产生82314.44 美元（约 56.8 万元人民币）的天价账单，而他们正常月费仅 180 美元，暴涨 455 倍。

原因很简单：密钥不小心泄露到公网，被黑产脚本批量抓取并疯狂滥用。更让团队绝望的是，向谷歌申请撤销费用被直接驳回。平台给出的理由很明确：密钥安全责任在用户，被盗产生的费用必须由用户买单。

目前团队已彻底关停相关服务、轮换所有凭证，并开启更严格的权限管控，但面对这笔远超承受能力的费用，几乎走投无路。

业内安全报告显示，大量前端公开的谷歌 API 密钥（常用于地图等服务），在项目启用 Gemini 后会自动获得 AI 调用权限，且无任何提示，等于把“金库密码”公开贴在网上。加上谷歌云不强制设置消费上限，异常流量无法自动切断，风险被无限放大。

这起事件已经在全球开发者圈引发热议，无数人开始紧急检查自己的密钥与配额。对小团队而言，一次疏忽，可能就是创业终点。

PS：就这事，大家觉得哪方的锅更大？

（参考：Tom's Hardware、The Register，本文经由 AI 优化）