澳洲華人工程師 Wayne 近日遭遇一宗離譜事件。他在 Google Cloud 帳戶設定每月預算 7 美元(約 HK$54.6),醒來卻收到高達 18,392 美元(約 HK$143,457.6)的天價帳單。全部費用僅用數小時內瘋狂產生。 Wayne 自稱嚴守 Google AI 開發平台安全規範,每天為每個項目獨立配置 API 密鑰、分拆獨立計費帳戶、啟用雙重身份驗證及雲端審核日誌。
然而,Wayne 發現攻擊者並未竊取密鑰,而是找到他數月前發佈的一個雲端虛擬管理服務公用接駁。此公用接駁雖未對外分享、未被搜尋引擎收錄,卻遭黑客利用發動超過 6 萬次請求。
Google 系統自動授權與帳戶升級
Google 官方代理程式會自動讀取容器內明文存放的 API 密鑰環境變量,為每次訪問請求完成授權簽名。因此在本次日誌預警推送時,Wayne 的信用額已被扣除 6,881 美元(約 HK$53,671.8);與 Google 客服溝通期間,又新增約 10,321 美元(約 HK$80,503.8)扣費。 雖然 Google Cloud 原有 9 項可阻截此類事件的防護功能,但均預設為關閉狀態。
更離奇的是,Google 在未發出任何通告情況下自動升級 Wayne 帳戶等級。帳戶原為 2 級權限,消費上限 2,000 美元(約 HK$15,600)。當異常消費突破 1,000 美元(約 HK$7,800)門檻後,系統自動提升,上限直接放寬至 2 萬至 10 萬美元(約 HK$156,000 至 HK$780,000)。 最終 Google 免除全部欠費,銀行亦將已扣款原路退回。
Wayne 已預約與 Google 管理層會面,專題溝通安全漏洞問題。類似事件並非孤例,Google Cloud 社群論壇多名用戶反映同類遭遇:一名日本用戶正常使用雲服務,帳戶被開出 44,000 美元(約 HK$343,200)帳單,手動關停 API 接駁後費用仍漲至 128,000 美元(約 HK$998,400)。3 月另一用戶 API 密鑰遭濫用,兩天內被扣 82,314.
44 美元(約 HK$642,052.63),而該帳戶平日月消費僅 180 美元(約 HK$1,404)。 網絡安全企業 Truffle Security Co. 曾預警:Google Cloud 採用統一格式的 API 密鑰設計,原不作項目識別編碼。一旦項目開放大模型接駁服務,老舊通用密鑰即自動升級為付費授權憑證。密鑰洩露後,攻擊者可隨意調用付費接駁任意提取雲服務帳單。
若後續 Google 仍不修改 API 權限規則並補齊安全短板,此類天價扣費事件將持續發生。
