54 000 euro. Det er regningen utvikleren «zanbezi» satt igjen med etter å ha aktivert Firebase AI Logic på et prosjekt som tidligere bare ble brukt til Firebase Authentication. Hendelsen ble først publisert på Googles AI Developer Forum og fikk 388 poeng på Hacker News, og er et sjeldent offentlig case-studie av hva som skjer når en browser-API-nøkkel uten kvoterestriksjoner lekker.
Tidslinjen er brutal. Bruken eksploderte i et nattvindu, og både budsjettvarselet på 80 euro og Googles anomalivarsel kom flere timer for sent. Da utvikleren fikk reagert, var kostnaden allerede 28 000 euro. Det endelige beløpet landet på 54 000 euro fordi Google Clouds kostnadsrapportering har rundt ti minutters etterslep.
«We are moving to disable the usage of unrestricted API keys in the Gemini API, should have more updates there soon.» — Logan Kilpatrick, Google
Google avslo i første omgang kompensasjon fordi trafikken kom fra kundens eget prosjekt. Logan Kilpatrick fra Google svarer i tråden at Gemini API nå har faktura-cap på 250 dollar i måneden for tier 1-brukere, at man kan sette egne project spend caps, og at ubundne API-nøkler snart blir fjernet helt. Det hjelper ikke zanbezi, for pengene er borte, men det forteller deg hva du må gjøre i dag.
Hva bør du gjøre?
- Sett project spend cap i Google AI Studio under Billing, og ikke stol på budsjettvarsel alene — de kommer for sent.
- Flytt alle Gemini-kall server-side og legg på App Check for klient-apper; aldri eksponer en nøkkel i frontend.
- Gå gjennom eksisterende API-nøkler i Google Cloud Console og begrens dem til kun Gemini-API, med kvote og IP-restriksjoner der det er mulig.