Украденный ключ Gemini сжёг $82k за 48 часов
Компрометация API‑ключа Google Gemini может привести к огромным счетам: стартап получил счёт более $82 тыс. после того, как злоумышленники за 48 часов израсходовали лимит через LLM‑модели. Разработчикам стоит срочно проверить и ограничить свои ключи Google Cloud.
Проблема связана с тем, что старые API‑ключи Google (формат AIza), ранее использовавшиеся как публичные идентификаторы для Maps и Firebase, после включения Gemini API могут давать доступ к LLM. Исследователи Truffle Security нашли тысячи таких ключей в открытом доступе. Google сначала считала это штатным поведением, но позже признала баг и начала работу над исправлением. Пока рекомендуется сканировать проекты на утечки ключей.
