#人工智能 又是天价账单！谷歌 GCP 存在缺陷可能会让开发者创建的旧令牌调用 Gemini API 且不受消费层级和支出上限限制。建议在 GCP 平台申请过各类免费或付费 API (例如用于谷歌地图或 Firebase) 的开发者立即轮换密钥并设置限制，这些旧密钥可以跨服务直接调用 Gemini API。查看详情：https://ourl.co/112703

这段时间谷歌因为天价账单问题正在对 Gemini API 平台进行大幅度改进，包括设置不同层级的消费限制、允许开发者设置项目支出上限、新增预付费机制充值多少用多少等。

不过在这种情况下依然有开发者不慎暴露 API 令牌后产生天价账单，名为赞比西的开发者发帖称自己的 Google Firebase AI Logic 在 13 小时内产生高达 5.4 万欧元的 AI 使用账单。

开发者描述的情况如下：

在 2025 年创建的项目用于 Google Firebase 身份验证，最近这名开发者添加简单的 AI 功能 (根据文本提示生成网页代码片段) 并启用 Firebase AI Logic 功能。

启用此功能后不久，开发者发现 Gemini API 使用量激增并且产生的使用量与实际用户无关，看起来这些使用量都是自动化产生的，开发者发现问题后禁用 API 后使用量停止增加。

从使用量激增到开发者禁用 API 约有 13 小时，期间开发者收到 80 欧元的预算警报和成本异常警报，不过这些警报都是延迟几小时后才发来，而不是实际消耗 80 欧元时就触发。

开发者在注意到异常禁用 API 时实际账单金额达到 28,000 欧元，由于本身 Gemini API 成本报告也是延迟的，最终开发者收到的账单金额高达 54,000 欧元。

提交争议申诉也同样被驳回：

后来开发者与谷歌云支持团队沟通并提供详细日志和分析报告，不过谷歌云支持团队认为费用源于开发者的项目，因此认定这是合理使用，所以开发者提交的账单申诉被谷歌云团队驳回。

开发者认为这种使用方式显然是异常的、并非用户驱动的，也不能反映用户对该服务的预期或有实际意义的使用，谷歌云应当对这部分异常账单进行豁免才对。

这实际上是谷歌的漏洞：

在文章开头蓝点网提到谷歌正在改进 Gemini API 平台的消费问题，但这些改进有个致命漏洞：所有改进仅适用于通过 Google AI Studio 创建的 API，开发者在其他地方创建的 API 尤其是老旧的 API 是不受这些消费限制约束的。

根据 Truffle Security 在 2026 年 2 月发布的分析报告，多种谷歌 API 令牌 (例如谷歌地图和 Firebase) 都可以用来调用 Gemini API 服务，这家安全公司在全网扫描到 3000 多个暴露的 API 密钥。

问题在于原本用于谷歌地图的这些 API 其实公开或不慎泄露也不是太大的问题，只不过在 AI 时代谷歌竟然接受通过这些 API 令牌用于 Gemini 身份验证。

更夸张的是谷歌自己都使用这些旧 API 并在网上公开，研究人员甚至可以通过 API 令牌访问谷歌自己内部使用的 Gemini 服务，但谷歌认为这些密钥不涉及敏感信息。

谷歌也已经知道这个漏洞：

针对这个漏洞问题，谷歌员工在回应开发者时透露，默认情况下 Google AI Studio 生成的密钥仅用于调用 Gemini API 服务，但开发者从 GCP 其他部分生成的密钥具有跨服务功能。

同时相关消费限制也仅限于新生成的这些密钥，也就是以前生成的老旧密钥是不会受到消费限制的，对开发者而言现在立即销毁以前创建的各种密钥至关重要，否则暴露后产生天价账单后哪怕最终能被免除也可能需要浪费大量时间与谷歌沟通。

目前 Google AI Studio 团队已经提供邮箱供开发者联系来彻底调查这件事，开发者的这笔天价账单应该可以被免除。

via Google Dev