Meksika’da üç geliştiriciden oluşan bir ekip, projelerine ait bir API anahtarının ele geçirilmesi sonucunda aylık yapay zeka hizmet giderlerinde yaklaşık 455 katlık bir artışla karşı karşıya kaldı. Ele geçirilen anahtar, Google Gemini hizmetlerine büyük ölçekte erişmek için kullanıldı. Küçük şirket, Google ile ödeme konusunda bir düzenleme yapılması için görüşmeye çalışsa da henüz bir sonuç alamadığını bildiriyor.
Mağdur geliştiricilerden biri yaşadıkları süreci Reddit üzerinde paylaştı. Google Cloud API anahtarı 11-12 Şubat tarihleri arasında ele geçirildi ve ağırlıklı olarak Gemini 3 Pro Image ile Gemini 3 Pro Text hizmetlerine erişim sağlamak için kullanıldı.
Şirketin normal şartlarda 180 dolar civarında olan aylık yapay zeka hizmet gideri, yetkisiz kullanım nedeniyle 82.314,44 dolara ulaştı. Kısıtlı finansal imkanlarla çalışan geliştiriciler, faturanın üçte biri bile tahsil edilse işletmenin iflas edebileceğinden endişe ediyor.
Mountain View temsilcisi, üretken yapay zeka hizmetlerini kullanan müşterilerin Shared Responsibility Model (Paylaşılan Sorumluluk Modeli) gereği kendi kimlik bilgilerini korumaktan sorumlu olduğunu hatırlattı. Bu model kapsamında, kimlik doğrulama anahtarlarının çalınmasından kaynaklanan suistimallerde hizmet sağlayıcılar sorumluluk kabul etmiyor.
Operasyonel bir hata yapmadıklarını savunan geliştiriciler, durumu fark ettiklerinde anahtarları silip Google Gemini API erişimini devre dışı bıraktı ve hesaplarında iki faktörlü doğrulamayı etkinleştirdi. Google destek ekibiyle iletişime geçilmesine rağmen henüz bir çözüm elde edilemediği belirtiliyor.
Geliştiriciler, bulut sağlayıcılarının aşırı fatura anomalilerine karşı daha güçlü önlemler alması gerektiğini savunuyor. Kullanım anormal eşiklere ulaştığında ücretlendirmeyi otomatik olarak durduracak veya doğrulayacak bir sistemin eksikliğine dikkat çeken geliştirici, “Aylık 180 dolardan 48 saatte 82 bin dolara sıçramak normal bir değişkenlik değil; bu apaçık bir suistimaldir.” ifadesini kullandı.
Meksikalı ekip topluluktan tavsiye alırken, bazı uzmanlar Gemini tarzı hesaplama yoğunluklu üretken yapay zeka API’lerine aşırı güvenilmemesi gerektiği konusunda uyardı. Anahtarın GitHub gibi platformlarda ifşa edildiği iddiaları gündeme gelse de geliştiriciler bu iddiaları reddediyor.
Üretken yapay zeka hizmetleri için modern kimlik doğrulama yöntemleri yaygınlaşmadan önce, bazı eski API sistemlerinin ele geçirilmesi daha kolay kabul ediliyordu. Geliştiriciler, bu vakanın, bulut bilişim ortamlarındaki daha geniş güvenlik ve fatura koruması endişelerini vurgulamaya yardımcı olabileceğine inanıyor. Bildirilene göre ekip ayrıca FBI’a resmi şikayette bulundu.
Kaynak: https://www.techspot.com/news/111529-stolen-gemini-api-key-turned-180-bill-82000.html
