Vários programadores e fundadores de startups estão a relatar cobranças catastróficas na Google Cloud, que atingem dezenas de milhares de euros devido ao uso não autorizado da API do Gemini. O problema reside em chaves antigas de projetos esquecidos, como do Google Maps ou Firebase, que se tornaram portas de entrada para ataques massivos após mudanças estruturais da própria Google. De acordo com um artigo do Cybernews, existem casos de faturas que superam os 60.000 euros acumulados em menos de um dia.
Chaves antigas tornam-se bombas relógio
A situação tornou-se um pesadelo para muitos utilizadores que, durante anos, mantiveram chaves de API expostas em código de cliente, seguindo as recomendações anteriores da própria Google que as considerava seguras. Contudo, a integração automática destas chaves com a API de inteligência artificial do Gemini permitiu que atacantes as utilizassem para gerar volumes absurdos de tráfego.
Um dos casos mais graves envolve a Colavo Ground, uma startup sul-coreana que viu uma chave de 2016 ser abusada por uma botnet, gerando 931 pedidos por segundo. O resultado foi uma fatura de cerca de 62.000 euros em apenas 19 horas. Embora a equipa tenha restringido a chave assim que detetou a anomalia, a Google rejeitou inicialmente o pedido de contestação da fatura, colocando a empresa em risco imediato de insolvência.
A Truffle Security já tinha alertado para este perigo, demonstrando que chaves públicas de serviços inofensivos poderiam ser retroativamente autorizadas a aceder a modelos de IA dispendiosos sem que o proprietário fosse avisado.
Resposta da Google e novas medidas de segurança
Perante a onda de reclamações e o impacto financeiro devastador, a Google apressou-se a implementar limites de gastos mais rigorosos. Segundo o Cybernews, a empresa anunciou em abril de 2026 a introdução de limites que podem suspender o tráfego da API assim que o orçamento definido é atingido.
Logan Kilpatrick, responsável de produto do Google AI Studio, explicou que os utilizadores de nível 1 têm agora um limite padrão de aproximadamente 230 euros (250 dólares) por mês, sendo o acesso cortado automaticamente após esse valor. No entanto, existe ainda um atraso de cerca de 10 minutos no reporte de custos, o que pode permitir pequenos excessos antes do bloqueio total.
Para evitar estas situações, os especialistas recomendam que os programadores verifiquem todos os seus projetos na consola da Google Cloud e desativem a Generative Language API em chaves que não precisem dela. Se encontrar uma chave exposta, a recomendação é clara: mude-a imediatamente e certifique-se de que as chaves que envolvem custos de utilização nunca fiquem no código visível do lado do cliente, mas sim protegidas atrás de um proxy no servidor.
Nenhum comentário
Seja o primeiro!