Google Cloud の開発者が、身に覚えのない Gemini API 利用で数千〜数万ドルの請求を受ける被害が相次いでいると、TechCrunch が5月24日に報じました。Google Maps 向けに(同社の手順に沿って)公開していた API キーが、スコープ拡大により Gemini へもアクセスできる状態になっていたことが背景にあるとされます。
主なポイント
- ある開発者は約30分で 10,138 ドル、別の開発者は 250 ドルの上限を設定していたにもかかわらず約 17,000 豪ドルを請求された
- Maps 用に公開されていたキーが、Google によるスコープ拡大で Gemini を呼び出せる状態になっていた(明確な告知がなかったと指摘される)
- セキュリティ企業 Aikido によると、漏えいに気づいてキーを即削除しても失効の反映は段階的で、最大23分は攻撃が成立し得る。一部の時間帯では9割超のリクエストが認証を通過した
- 失効が浸透するまでの間に、攻撃者はファイルや Gemini のキャッシュ済み会話データを持ち出せる可能性がある
出典: Everyone is navigating AI security in real time — even Google(TechCrunch)