Một mã khóa API Gemini bị đánh cắp đã biến tờ tiền 180 đô la thành 82.000 đô la chỉ trong hai ngày

Sự cố hy hữu nhưng đầy cảnh báo này vừa được một thành viên trong nhóm chia sẻ trên Reddit, làm dấy lên những tranh luận nảy lửa về trách nhiệm bảo mật giữa nhà cung cấp dịch vụ đám mây và người dùng trong kỷ nguyên AI.

Hóa đơn "trên trời rơi xuống"

Theo chia sẻ, khóa API Google Cloud của dự án đã bị lộ trong khoảng thời gian ngắn từ ngày 11 đến 12 tháng 2 năm 2026. Kẻ tấn công đã tận dụng kẽ hở này để truy cập ồ ạt vào các dịch vụ cao cấp như Gemini 3 Pro Image và Gemini 3 Pro Text.

Kết quả là một con số không tưởng: Chi phí từ mức trung bình 180 USD/tháng đã vọt lên 82.314,44 USD chỉ trong vòng 48 giờ. Với một công ty nhỏ đang hoạt động với ngân sách thắt chặt, con số này không khác gì một bản án tử hình cho doanh nghiệp. Ngay cả khi được giảm 2/3 số tiền, họ cho biết mình vẫn không đủ khả năng chi trả.

Cuộc chiến lý lẽ: Lỗi tại ai?

Phản hồi về sự việc, đại diện từ Mountain View (Google) đưa ra quan điểm cứng rắn dựa trên Mô hình Trách nhiệm Chung (Shared Responsibility Model). Theo đó:

Nhà cung cấp: Chịu trách nhiệm về hạ tầng và nền tảng.
Người dùng: Phải tự bảo vệ thông tin xác thực và triển khai các biện pháp bảo mật cần thiết.

Google khẳng định khách hàng phải tự chịu trách nhiệm khi khóa xác thực bị xâm phạm. Ngược lại, nhóm lập trình viên Mexico quả quyết họ không mắc lỗi vận hành "rõ ràng" nào và đã nhanh chóng vô hiệu hóa API, đổi khóa và bật xác thực hai yếu tố (2FA) ngay khi phát hiện bất thường.

Nhóm này lập luận rằng các nền tảng đám mây cần có cơ chế "phanh khẩn cấp". Việc doanh thu tăng vọt gấp 455 lần trong 48 giờ là một dấu hiệu lạm dụng rõ rệt, không thể coi là biến động sử dụng bình thường. Họ cho rằng hệ thống lẽ ra phải tự động tạm dừng dịch vụ để xác minh thay vì cứ thế "thả cửa" tính tiền.

Lời cảnh báo cho cộng đồng Dev

Sự việc vẫn đang trong quá trình thương lượng nhưng chưa có tín hiệu khả quan từ phía Google. Nhóm phát triển hiện đã đệ đơn khiếu nại lên FBI để điều tra hành vi xâm nhập trái phép.

Vụ việc này để lại nhiều bài học xương máu cho giới lập trình viên khi làm việc với các API AI tiêu tốn nhiều tài nguyên:

Tuyệt đối không hard-code khóa API: Luôn sử dụng biến môi trường hoặc các dịch vụ quản lý bí mật (Secret Manager).
Thiết lập hạn mức chi tiêu (Billing Quotas): Đây là "phao cứu sinh" quan trọng nhất để chặn đứng các hóa đơn nghìn đô trước khi chúng kịp hình thành.
Cảnh giác với kho lưu trữ công khai: Dù nhóm lập trình viên phủ nhận, nhưng việc vô tình đẩy khóa API lên GitHub vẫn là nguyên nhân hàng đầu dẫn đến các vụ rò rỉ tương tự.

Câu chuyện của nhóm phát triển Mexico là lời nhắc nhở rằng trong kỷ nguyên AI, một sai lầm nhỏ về bảo mật có thể dẫn đến hậu quả tài chính khủng khiếp, vượt xa khả năng xử lý của bất kỳ startup nào.

Corsair HS35 v3 Ra Mắt: Tai Nghe Gaming Siêu Nhẹ, Dolby Atmos, Giá Từ 49,99 USD

Corsair giới thiệu HS35 v3 và HS35 v3 Wireless tại Computex 2026 với thiết kế siêu nhẹ, driver Neodymium 50mm, Dolby Atmos, pin 30 giờ và giá từ 49,99 USD.

MSI Claw 8 EX AI+ Ra Mắt Tại Computex 2026 Với Intel Panther Lake Và GPU Arc G3 Extreme

MSI Claw 8 EX AI+ xuất hiện tại Computex 2026 với chip Intel Panther Lake, GPU Arc G3 Extreme, màn hình 120Hz, pin 80Wh và RAM tối đa 32GB, hứa hẹn cạnh tranh trực tiếp với các máy chơi game cầm tay dùng AMD.

CORSAIR công bố loạt phần cứng mới tập trung tính tiện dụng, làm mát và tuỳ biến hoá tại COMPUTEX 2026

CORSAIR giới thiệu hàng loạt sản phẩm mới gồm ghế gaming TC80, quạt iCUE LINK RX II RGB, màn hình LCD 5 inch, XENEON EDGE Crystal/Smoke và phụ kiện gỗ cho FRAME 5000D.

CORSAIR mở rộng hệ sinh thái Gaming tại Computex 2026 với công nghệ Advanced Hall Effect, hiệu năng tích hợp Stream Deck, và âm thanh đỉnh cao

CLIPPER PRO MINI 60, NIGHTSWORD v2 WIRELESS SD, HS35 v3 WIRELESS, và HS35 v3 đem đến cho các game thủ chuyên nghiệp, nhà sáng tạo nội dung và người chơi phổ thông khả năng điều khiển thông minh hơn, phạm vi kiểm soát sâu hơn và âm thanh sống động đáp ứng mọi nhu cầu khác nhau của họ.

Robot Hình Người Tích Hợp AI Có Thể Xuất Hiện Trên Chiến Trường Ukraine Trong Tương Lai Gần

Theo công ty, phiên bản mới sẽ được trang bị các khả năng vận hành tiên tiến hơn, tải trọng tối đa tăng gấp đôi so với thế hệ đầu tiên và hướng tới việc thực hiện nhiều nhiệm vụ phức tạp trong môi trường quân sự cũng như công nghiệp.

Nvidia, Microsoft và Arm cùng tung teaser bí ẩn trước Computex 2026, CPU Arm N1X có thể chính thức lộ diện

Đây được xem là phiên bản thương mại hóa của nền tảng Project Digits mà Nvidia từng giới thiệu tại CES 2025, nhưng hướng tới người dùng phổ thông thay vì các hệ thống AI chuyên dụng.

Radeon RX 9070 GRE bất ngờ xuất hiện trên Amazon Mỹ, AMD chuẩn bị bán toàn cầu?

Trong số các sản phẩm được niêm yết, đáng chú ý nhất là mẫu Sapphire Pulse Radeon RX 9070 GRE Gaming OC. Đây cũng là lần đầu tiên dòng RX 9070 GRE xuất hiện trên một nền tảng bán lẻ lớn ngoài Trung Quốc.

Gigabyte tặng 1 gram vàng khi mua RTX 5090 Infinity nhân dịp kỷ niệm 40 năm

Theo thông báo từ Aorus Taiwan, chương trình ưu đãi bắt đầu từ ngày 25/5 đến hết ngày 7/6 và chỉ áp dụng cho thị trường Đài Loan.

Apple có thể tiếp tục bán iPhone 17 sau khi iPhone 18 ra mắt và đây là lý do

Ngày càng có nhiều ý kiến cho rằng Apple nên tiếp tục bán iPhone 17 ngay cả sau khi dòng iPhone 18 ra mắt vào năm 2027.