API key 30 分鐘、帳單 $10,000:Google Cloud 的 AI 安全漏洞為什麼連企業也沒準備好
Google Cloud API key 遭濫用事件正在升級:攻擊者用一把舊 key 呼叫 Gemini、Veo 3,30 分鐘內產生萬美元帳單;刪除 key 後仍有最長 23 分鐘風險窗口;預算上限可能自動升到 $100,000。本文整理三起關鍵報導,解析企業 AI 安全的五個致命盲點與應對步驟。
Google Cloud 的 AI 安全議題,正在從「模型會不會答錯」變成「權限、帳單與資料會不會被拖下水」。根據 TechCrunch 2026 年 5 月 24 日報導,Google Cloud COO Francis de Souza 提醒企業,AI 安全不能等到導入後才補上;同篇也整理近期 Google Cloud API key 被濫用後,開發者收到高額 Gemini 帳單的案例。
這則新聞之所以重要,是因為它揭露了一個很現實的落差:雲端平台正在鼓勵企業導入 AI agent、Gemini API 與多雲架構,但 API key 權限、預算上限、撤銷延遲與 shadow AI 管理,可能還沒有跟上 AI 的速度。
Google Cloud AI 安全風險正在升級
Google Cloud API key 事件顯示,AI 安全已經不只是資訊安全團隊的問題,而是董事會與管理層必須處理的營運風險。
TechCrunch 訪問 Google Cloud COO Francis de Souza 時,他強調企業不能把安全當成事後補丁,也不能只靠員工自行判斷該用哪些 AI 工具。他特別點出 shadow AI 的問題:員工在沒有組織監督的情況下使用消費級 AI 工具,可能讓公司資料、權限與稽核紀錄全部失控。
這個提醒本身並不新,但 AI 讓它變得更急迫。過去企業保護的是網路、帳號、資料庫與 SaaS 權限;現在還多了模型、訓練資料管線、prompt、agent、工具連接器與 API key。只要其中一個環節失控,就可能變成帳單暴衝、資料外洩或內部系統被 AI agent 意外翻出來。
更麻煩的是,AI 把攻擊速度拉高了。TechCrunch 引述 de Souza 的說法,攻擊從初始入侵到下一階段的平均時間,已從過去約 8 小時縮短到 22 秒。這意味著企業若還靠人工查警報、人工刪 key、人工追 log,很可能追不上攻擊者和自動化濫用程式的節奏。
API key 被濫用後帳單可能在幾分鐘內爆炸
這次事件最讓開發者緊張的地方,是 Google Cloud API key 一旦被濫用,Gemini 與 AI 生成服務可以在極短時間內產生高額費用。
The Register 5 月 13 日報導提到,多名 Google Cloud 使用者表示,原本只用於 Google Maps 等服務的 API key 被攻擊者拿來呼叫昂貴的 AI 服務,例如 Veo 3 影片生成與 Gemini 圖像輸出,結果在幾分鐘內產生數千到上萬美元費用。
其中一個案例是 Prentus CEO Rod Danan。他原本每月 Google Cloud 帳單不到 50 美元,但 API key 被濫用後,約 30 分鐘內產生 10,138 美元費用。另一名澳洲開發者 Isuru Fonseka 則表示,自己以為帳戶有 250 美元預算上限,卻仍遇到約 17,000 澳幣的異常費用。
問題不只在 key 被偷。報導指出,部分開發者原本以為 Google Cloud 的預算上限能阻止高額消費,但 Google 的自動系統可能依帳戶歷史與付款條件,把有效上限升級到更高層級,甚至最高到 100,000 美元。這讓「我有設定預算」不一定等於「我有硬性支出上限」。
| 風險項目 | 傳統理解 | 這次事件顯示的問題 |
|---|---|---|
| API key 暴露 | 只要限制來源或用途就安全 | 舊 key 可能因服務範圍變化而能呼叫 Gemini |
| 預算上限 | 設定 cap 就能止血 | 自動升級機制可能讓有效上限變高 |
| 帳單警報 | 收到通知後再處理 | AI 推理與生成費用可在幾分鐘內暴衝 |
| 刪除 key | 刪掉就立即失效 | 研究顯示最長可能仍可用 23 分鐘 |
| AI 導入 | 主要是產品與效率議題 | 權限治理與財務風險也必須同步設計 |
這張表真正要提醒的是:AI API 的風險不是單點問題,而是一整條鏈。從 key 建立、服務啟用、API 限制、預算控制、異常偵測到撤銷機制,只要其中一段太慢或太鬆,AI 的高單價與高速度就會把風險放大。
刪除 API key 不代表風險立刻結束
API key 撤銷延遲,是這次新聞裡最值得開發者記住的細節。
The Register 5 月 21 日報導引用 Aikido Security 研究指出,部分 Google API key 即使已被刪除,仍可能在最長 23 分鐘內繼續通過認證。TechCrunch 也整理了這個發現,並指出攻擊者在這段窗口內可能繼續呼叫 Gemini、存取快取內容或造成額外費用。
這件事對 incident response 很關鍵。很多工程師遇到 key 洩漏時,第一反應是立刻刪除 key,然後以為風險已經停止。但如果撤銷需要時間在全球基礎設施中傳播,刪除只代表「開始關門」,不代表門已經完全關上。
Aikido 研究也提到,不同憑證格式的撤銷速度可能不同。TechCrunch 報導指出,service account API credentials 約 5 秒可撤銷,Gemini 新的 AQ-prefixed key 格式約 1 分鐘,而舊式 Google API key 最長觀察到 23 分鐘。這讓開發者必須重新思考:不是所有 credential 都有一樣的風險輪廓。
Google Cloud 官方文件也提醒開發者,API key 可以做 HTTP referrer、IP address、Android app、iOS app 與 API restrictions 等限制;在 Google Cloud API key 管理文件中,Google 也提供建立、限制、輪替與刪除 API key 的操作方式。只是這次事件說明,文件中的「限制」和真實世界的「止血速度」仍然是兩件事。
Shadow AI 會讓舊資料與舊權限重新浮上水面
AI agent 的危險,不只在於它會犯錯,而是它會比人類更勤快地找到公司裡被遺忘的資料。
TechCrunch 引述 Francis de Souza 的說法,當 agent 在企業內部系統中移動時,可能會找到多年沒人維護的 SharePoint、舊資料庫、過時權限或被遺忘的文件庫。過去這些資料之所以沒有造成大問題,可能只是因為沒有人知道它們在哪裡;但 AI agent 不會累,也不會只找表面資料,它可能把這些老舊資產重新挖出來。
這也是企業導入 AI agent 時最容易低估的地方。AI agent 不是單純的聊天機器人,它可以查資料、讀文件、呼叫工具、整理工作流,甚至跨系統執行任務。當 agent 有太多權限,而企業又沒有完整資料治理與 audit log,就會出現一種很尷尬的狀態:AI 變聰明了,但公司反而更看不清它碰了什麼。
這和 AI First 工作流的思考很接近。真正成熟的 AI 工作流,不是把所有資料都丟給最強模型,而是先設計流程、權限、升級條件與人類審核點。企業如果只導入 AI 工具,卻沒有同步設計資料與權限邊界,效率提升就可能變成風險放大器。
企業現在該做的是重新盤點 AI 權限
企業面對 Google Cloud API key 風險,最務實的做法不是恐慌停用 AI,而是重新盤點所有能呼叫 AI 服務的入口。
第一步是清查 API key。不要只看新的 Gemini key,也要看歷史上為 Google Maps、Firebase、網站前端、行銷工具、內部 prototype 建立過的 key。這些 key 如果曾經公開放在前端、GitHub、文件或舊專案中,就應該被視為高風險資產。
第二步是限制用途。每一把 key 都應該只允許必要 API,不應該能同時呼叫不相關服務。Google 也在 The Register 報導中表示,使用者應避免同一把 key 用於多個 API,並設定 API restrictions 與 client application restrictions,例如 HTTP referrer 或 IP address。
第三步是把預算警報升級成真正的風險流程。警報只能告訴你事情發生了,不一定能阻止費用繼續增加。團隊需要先定義異常費用發生時誰負責、多久內處理、是否能立即停用服務、刪除 key 後是否還要監控至少 30 分鐘。
第四步是建立 AI agent 的權限分層。不是每個 agent 都應該能讀所有文件、呼叫所有 API 或存取所有工作區。企業可以把 AI 工作分成低風險、高頻任務與高風險、敏感任務,前者自動化,後者保留人工審核。
如果用一句話總結,這次事件不是在說「不要用 Google Cloud」或「不要用 Gemini API」,而是在說:AI 導入速度越快,權限治理就越不能慢。
AI 安全已經變成商業問題
Google Cloud API key 事件最值得關注的結論,是 AI 安全正在從技術細節變成商業責任。
對開發者來說,這是 API key hygiene 的警訊;對財務團隊來說,這是預算上限與雲端帳單治理的警訊;對管理層來說,這是 AI 策略不能和資料策略、安全策略分開的警訊。當一把舊 key 可以在幾分鐘內產生五位數帳單,AI 安全就不再只是資安部門的 Jira ticket。
接下來企業會越來越常遇到類似問題。像 Google I/O 2026 的多項 AI agent 發表顯示,Google、OpenAI、Anthropic、Microsoft 都在把 AI 從聊天視窗推進到作業系統、瀏覽器、工作流和企業平台。AI 越接近真實工作,API key、權限、費用、資料與稽核就越不能靠事後補救。
這則新聞的重點不是 Google 被抓到一個小漏洞,而是整個產業都在即時摸索 AI 安全的邊界。平台商要補上更細的控制,企業要補上更嚴的治理,開發者也要重新理解:在 AI API 時代,一把 key 不只是密碼,它可能是一張會自動刷爆的公司信用卡。
想每週掌握最新 AI 工具與趨勢?訂閱 AI 郵報,每週精選重點直送信箱,讓你不錯過任何重要動態。
