澳大利亚人工智能顾问杰西·戴维斯近日遭遇一起离谱事件:他在谷歌云账户仅设置7美元(约50元人民币)的月度预算,一觉醒来却收到18392美元(约13.24万元人民币)的天价账单。全部费用在夜间数小时内疯狂产生。
戴维斯自称熟悉谷歌AI开发平台安全规范,日常为每个项目单独配置API密钥、拆分独立计费账户、开启双重身份验证和云审计日志。
然而戴维斯发现攻击者并未盗取密钥,而是找到了他数月前发布的一项云端托管服务公开链接。即便该公开链接从未对外分享、未被搜索引擎收录,依然被黑客利用并发起超过6万次请求。
而谷歌官方代理程序会自动读取容器内以明文存放的API密钥环境变量,为每一次访问请求完成授权签名。
因此在次日清晨预算预警推送时,戴维斯的信用卡已被扣除6881美元(约4.7万元人民币);与谷歌客服沟通期间,又新增约10321美元(约7.05万元人民币)扣费。
然而,谷歌云原本拥有9项可阻止此类事故的安全防护功能,但都默认为关闭状态。
更糟糕的是,谷歌在未发出任何通知的情况下自动升级了戴维斯账户的等级。账户原本为2级权限,消费限额2000美元(约1.44万元人民币)。
当异常消费突破1000美元(约7200元人民币)门槛后,系统自动提档,消费上限直接放宽至2万至10万美元(约14.4万至72万元人民币)。
好在谷歌最终免除全部欠费,银行也将已扣款原路退回。戴维斯已预约与谷歌管理层会面,专项沟通安全漏洞问题。
类似事件并不在少数,谷歌云社区论坛多名用户反映同类遭遇:
一名日本用户正常使用云服务,莫名被开出44000美元(约31.68万元人民币)账单,手动关停API接口后费用仍涨至128000美元(约92.16万元人民币)。
3月份另有一名用户的API密钥遭滥用,两天内被刷出82314.44美元(约59.27万元人民币)账单,而该账户日常月消费仅180美元(约1296元人民币)。
网络安全企业Truffle Security Co.就曾预警:谷歌云采用统一格式的API密钥设计,原本仅作项目识别编码。
一旦项目开通大模型接口服务,老旧通用密钥就自动升级为付费授权凭证。密钥泄露后,攻击者可随意调用付费接口刷取云服务账单。
若后续谷歌仍不修改API权限规则并补齐安全短板,此类天价扣费事件将持续爆发。
