82 tysiące dolarów w 48 godzin; błąd Google może zrujnować deweloperów, gdy ich budżet został przekroczony 455-krotnie

Usługa Google Cloud pozwala zarządzać projektem z dowolnego miejsca, co postanowiło wykorzystać trzech deweloperów z Meksyku. Działali na bardzo ograniczonym budżecie licząc na to, że ich pomysł sprzeda się, ale szybciej mogą zbankrutować. Według doniesień ktoś uzyskał dostęp do ich klucza API i w zaledwie dwa dni nabił koszty około 455 razy wyższe od tego, niż te, które generowali w ciągu jednego miesiąca.

Wizja bankructwa dla trzech niewielkich deweloperów

Historię tę opisał jeden z poszkodowanych deweloperów, który wraz z dwiema osobami pracował nad nienazwanym projektem. Między 11 a 12 lutego nieznana osoba uzyskała dostęp do ich klucza API Google Cloud i, korzystając wyłącznie z generowania tekstu oraz obrazów w Gemini Pro, nabiła im rachunek, na który nie są w stanie sobie pozwolić. Gdy dotychczas wydawali 180 dolarów miesięcznie, ktoś w dwie doby nabił rachunek na kwotę 82 314,44 dolara.

Jak powiedział sam zainteresowany RatonVaquero, deweloperzy od razu zrobili wszystko, żeby odciąć osobę trzecią od dostępu, czyli skasowali klucze API użyte w procesie, wyłączyli API Gemini, zmienili dane uwierzytelniające, włączyli weryfikację dwuetapową, zablokowali IAM (Identity and Access Management) i zgłosili sprawę do wsparcia Google. Można powiedzieć, że ograniczyli dostęp do absolutnego minimum, ponieważ nie wiedzieli, w jaki sposób klucz API trafił w niepowołane ręce.

Powiązane:Premiera Windowsa 12 jeszcze w tym roku, ale system trafi na garstkę urządzeń według przecieków

Odpowiedź Google nie spodobała się jednak twórcom. Firma powołała się na Shared Responsibility Model, co oznacza, że odpowiedzialność za bezpieczny dostęp do kluczy API spoczywa na twórcach. Ci w teorii tego nie dopełnili, dlatego Google ma prawo żądać od nich zapłaty pełnej kwoty ponad 82 tysięcy dolarów.

To Google udostępniał publicznie klucze API

Największym problemem był brak jasnej odpowiedzi, w jaki sposób nieznana osoba weszła w posiadanie klucza API, a następnie wykorzystała go przy Gemini 3 Pro. W wątku na Reddicie pojawiły się głosy, że to deweloperzy przyznali się udostępnienia go na GitHubie, czemu zaprzeczał autor posta RatonVaquero. Odpowiedź na tę kwestię prawdopodobnie przedstawił inny użytkownik o pseudonimie CrunchyChewie.

Otóż odesłał do artykułu firmy Truffle Security Co., która 25 lutego pokazała, że prawdopodobnie wina leży po stronie Google. Firma przez lata instruowała deweloperów, że niektóre klucze API (jak te do Google Maps) nie są ukryte, a nawet zachęcała do wklejania ich do publicznego kodu HTML lub JavaScript, co ułatwiało identyfikację projektu oraz jego rozliczenie. Problem pojawił się wraz z wejściem na rynek Gemini, ponieważ AI zostało zintegrowane z dotychczasowym systemem kluczy.

W ten sposób losowy klucz API do Google Maps pozwalał na generowanie tekstu i obrazu w Gemini za opłatą. W teorii osoba, która nabiła rachunek na ponad 82 tysiące nawet nie musiała nigdzie się włamywać, ponieważ dany klucz mogła znaleźć publicznie. Firma Truffle Security dodała, że po przeskanowaniu publicznych stron internetowych znaleziono około 3 000 takich aktywnych kluczy, z czego część należała do samego Google.

Być może ta luka pozwoli trzem deweloperom z Meksyku wybronić się przed uiszczeniem opłaty, która zniszczyłaby ich firmę. Niestety sprawa do teraz, na początku marca, nie znalazła jeszcze rozwiązania.

Więcej:Microsoft próbował walczyć z memem Microslop na Discordzie Copilota co wywołało wojnę z użytkownikami

• Google
• tech
• AI / sztuczna inteligencja
• chatboty / ChatGPT