Een gestolen API-sleutel voor Google Gemini heeft een kleine startup opgezadeld met een rekening van meer dan 82.000 dollar. Het voorval illustreert hoe snel de kosten van generatieve AI kunnen oplopen wanneer toegangssleutels in verkeerde handen terechtkomen.
Dit meldt The Register. De ontwikkelaar van het bedrijf beschreef op Reddit hoe de Google Cloud API-sleutel van zijn startup vermoedelijk tussen 11 en 12 februari werd misbruikt. In die periode werd via de sleutel voor 82.314 dollar aan AI-verzoeken uitgevoerd. Het grootste deel van die kosten kwam volgens hem voort uit gebruik van Gemini 3 Pro Image en Gemini 3 Pro Text.
Voor het bedrijf betekent dat een enorme afwijking van het gebruikelijke verbruik. De startup, die bestaat uit drie ontwikkelaars in Mexico, geeft normaal gesproken ongeveer 180 dollar per maand uit aan Google-diensten. De onverwachte kosten betekenen daarmee een stijging van ongeveer 46.000 procent.
Toen het team het probleem ontdekte, verwijderde het de betreffende API-sleutel en schakelde het de Gemini-API uit. Ook werden toegangsgegevens vervangen en aanvullende beveiligingsmaatregelen genomen. Volgens de ontwikkelaar leverde contact met de ondersteuning van Google echter geen directe oplossing op.
In de communicatie met het bedrijf zou Google hebben verwezen naar het principe van gedeelde verantwoordelijkheid. Daarbij beveiligt Google de cloudinfrastructuur, terwijl klanten zelf verantwoordelijk blijven voor het beschermen van API-sleutels en applicaties. De ontwikkelaar gaf aan zich zorgen te maken over de financiële gevolgen als het volledige bedrag wordt doorberekend.
Duizenden publieke Google API-sleutels gevonden
Beveiligingsonderzoekers van Truffle Security signaleren dat het probleem mogelijk breder speelt. Zij troffen duizenden Google API-sleutels aan die publiek toegankelijk zijn op internet. In totaal identificeerden zij 2.863 actieve sleutels die ook gebruikt kunnen worden om verzoeken naar de Gemini-API te sturen.
Veel van deze sleutels werden oorspronkelijk gebruikt als identificatie voor projecten in diensten zoals Google Maps of Firebase. In sommige gevallen zijn ze daardoor zichtbaar in websites of broncode. Wanneer later Gemini-functionaliteit aan een project wordt toegevoegd, kan dezelfde sleutel ook voor AI-verzoeken worden gebruikt. Daardoor kunnen onbevoegden AI-gebruik uitvoeren op kosten van het account dat bij de sleutel hoort.
Google zegt op de hoogte te zijn van het onderzoek en samen te werken met de onderzoekers om het probleem aan te pakken. Volgens het bedrijf zijn inmiddels maatregelen genomen om gelekte sleutels te detecteren en te blokkeren wanneer die proberen toegang te krijgen tot de Gemini-API.
Intussen breidt Google zijn AI-aanbod verder uit. Het bedrijf introduceerde onlangs Gemini 3.1 Flash-Lite, een model dat is ontworpen voor toepassingen met grote aantallen verzoeken en lagere kosten per token. Daarmee wil Google ontwikkelaars een goedkoper alternatief bieden voor grootschalig gebruik van generatieve AI.
Het incident laat echter zien dat lagere prijzen niet het enige aandachtspunt zijn. Zonder beperkingen op API-gebruik of goede beveiliging van sleutels kan misbruik van AI-diensten in korte tijd leiden tot zeer hoge cloudkosten.