開発者にとってAPIキー(Key)は、クレジットカードのパスワードと同じように重要であり、漏洩すると予想外の結果を招くことがあります。最近、メキシコ出身の3人チームの開発者がSNSのRedditに投稿し、Google GeminiのAPIキーを誤って公開してしまい、わずか48時間で8万2000ドル(約59万元)の請求書が発生したと助けを求めました。

この開発者によると、通常そのチームのGeminiの利用料は月に約180ドルです。しかし、キーが悪意あるクローラーによってインターネット上から取得され、頻繁に盗用されたため、2日以内に請求額が指数関数的に増加しました。支払いが不可能な「天文学的な数字」に直面し、チームはGoogleサポートエンジニアに減額を依頼しましたが、得られた回答は冷淡なものでした。「共有責任モデル」に基づき、キーのセキュリティ保護はユーザーの責任であり、プラットフォームのミスではないため、全額を支払う必要があるとされました。

この出来事は、開発者間でGoogle Cloudの課金メカニズムに対する不満を再び引き起こしました。OpenAIなどのプラットフォームでは一般的に「前払い+消費上限」というモードが採用されていますが、Google Cloudはデフォルトで明確な予算制限機能を提供していません。プラットフォームには予算アラート機能がありますが、開発者が事前に設定しなかったり、メールを確認しなければ、リクエスト量が急激に増加してもサービスは自動的にブロックされません。

一方、OpenAIなどの競合企業は残高が尽きるとすぐにAPIアクセスを停止しますが、Googleは「リクエストの速度制限」を提供していますが、「消費額の制限」ではありません。これは客観的に「天井のない請求書」が発生する可能性を残しています。現在、この開発者はGoogleと困難な交渉を続けています。業界の専門家は、さまざまなAIモデルを使用する際には、プラットフォームが強制的な消費上限をサポートしているかどうかを確認するよう呼びかけており、もし安全メカニズムがなければ、キーの管理に極めて注意を払う必要があります。

ポイント

  • 💸 48時間で59万元の請求書:キーの漏洩によりAPIが不正利用され、3人チームが負担できない経済的損失を被りました。

  • 🚫 Googleは支払いを拒否:「共有責任モデル」に基づいて、Googleは開発者のセキュリティミスによるすべてのコストをユーザーに負担させるべきだと考えています。

  • ⚠️ メカニズムの欠陥が疑問視される:開発者たちはGoogleが枠管理を改善し、OpenAIのような「残高がゼロになると自動的に遮断する」機能を追加することを求めていました。