新上线昨天92 投票
Google Cloud 用户醒来收到1.8万美元账单,预算仅7美元
事件概况
一位澳大利亚 AI 顾问兼 Agentic Labs 创始人 Jesse Davies 近日遭遇了一场“账单惊魂”:他的 Google Cloud 账户在一夜之间产生了 25,672.86 澳元(约 18,391.78 美元) 的费用,而他设置的预算仅为 10 澳元(约 7 美元)。
漏洞根源
Davies 在 LinkedIn 上详细复盘了事件经过。他表示自己并非新手,已采取了 按项目分配 API 密钥、独立结算账户、双重认证、云审计日志 等安全措施。然而,一个看似不起眼的薄弱环节击穿了所有防线。
攻击者并未窃取他的密钥,而是找到他数月前从 Google AI Studio 发布的一个 Cloud Run 服务。该服务拥有公开 URL,且 Google 自身的代理会使用容器中以 明文环境变量 存储的 API 密钥为每个请求签名。Davies 称:“虽然链接是公开的,但从未被分享或索引。第二天早上收到预算警报时,我的信用卡已被扣款 10,000 澳元,随后又扣了 15,000 澳元。”
被忽视的默认设置
更令人震惊的是,Davies 发现 Google Cloud 有 9 项本可阻止此事件的安全功能,但均处于默认关闭状态。此外,Google 在未通知的情况下自动升级了他的账户层级,进一步放大了损失。
行业启示
这一事件暴露了云服务中“默认不安全”的普遍问题。对于 AI 开发者而言,快速部署模型时常会忽略安全配置,而 Google Cloud 等平台默认开启的宽松权限更是雪上加霜。专家建议:
- 始终检查并启用 预算警报、费用上限 等防护机制。
- 避免在公开服务中存储明文密钥,使用 Secret Manager 等托管服务。
- 定期审计公开端点,及时清理不再使用的资源。
目前 Davies 正在与 Google 支持团队协商减免费用,但事件本身已为所有云用户敲响警钟:安全配置不能依赖默认值,主动防御才是关键。
