Misbruikte Gemini-API-sleutel levert startup torenhoge AI-kosten op

In dit artikel:

Een gestolen Google Gemini-API-sleutel heeft een kleine Mexicaanse startup van drie ontwikkelaars binnen één dag geconfronteerd met onverwachte kosten van 82.314 dollar. Volgens de ontwikkelaar werd de sleutel vermoedelijk tussen 11 en 12 februari misbruikt, vooral voor aanvragen naar Gemini 3 Pro Image en Gemini 3 Pro Text. Normaal besteedt het team zo'n 180 dollar per maand aan Google-diensten; de rekening betekende dus een stijging van ongeveer 46.000 procent.

Het team schakelde de sleutel en de Gemini-API uit, verving inloggegevens en nam extra beveiligingsmaatregelen, maar kreeg van Google-support te horen dat beveiliging volgens het principe van gedeelde verantwoordelijkheid deels bij de klant ligt. De ontwikkelaar vreest financiële problemen als het volledige bedrag wordt opgelegd.

Beveiligingsonderzoekers van Truffle Security wijzen erop dat dit geen geïsoleerd incident is: zij vonden duizenden publiek toegankelijke Google API-sleutels en identificeerden 2.863 actieve sleutels die gebruikt kunnen worden voor Gemini-verzoeken. Veel sleutels staan in publieke code of websites omdat ze oorspronkelijk bedoeld waren voor diensten als Google Maps of Firebase; zodra Gemini aan een project wordt toegevoegd, kunnen diezelfde sleutels misbruikt worden voor dure AI-aanroepen.

Google zegt samen te werken met de onderzoekers en heeft mechanismen ingevoerd om gelekte sleutels te detecteren en te blokkeren voor toegang tot de Gemini-API. Tegelijk breidt het bedrijf zijn aanbod uit met goedkopere modellen zoals Gemini 3.1 Flash-Lite voor grootschalig gebruik. Het incident onderstreept echter dat prijsverlagingen onvoldoende zijn: goede sleutelbeveiliging, limieten op API-gebruik en alerting op abnormale kosten zijn cruciaal om runaway-billing van AI-diensten te voorkomen. Aanbevolen maatregelen zijn sleutelrotatie, restricties per project/IP, duidelijke quota en realtime-billingwaarschuwingen.