De 180 dólares para 82.000: fatura astronómica chegou após acesso indevido a serviços Gemini

Uma equipa de três programadores está a enfrentar um aumento de cerca de 455 vezes nas despesas mensais com serviços de Inteligência Artificial (IA), depois da chave API associada ao seu projeto ter alegadamente sido comprometida.

No México, uma equipa de programadores está a tentar abrir o debate relativo à segurança e proteção na faturação em ambientes de computação na cloud.

Depois da chave API associada ao seu projeto ter alegadamente sido comprometida, os três programadores estão a enfrentar um aumento de cerca de 455 vezes nas despesas mensais com serviços de IA.

A chave foi utilizada para aceder, em larga escala, aos serviços Google Gemini.

Embora a pequena empresa tenha tentado negociar algum tipo de solução junto da Google, esta não terá flexibilizado qualquer ajuste no pagamento.

Chave comprometida deixa startup sob pressão financeira

Conforme reportado, um dos programadores afetados partilhou o incidente através do Reddit, contando que a chave API do serviço Google Cloud foi comprometida entre 11 e 12 de fevereiro e foi utilizada sobretudo para aceder aos serviços Gemini 3 Pro Image e Gemini 3 Pro Text.

A despesa mensal habitual da empresa com serviços de IA rondava os 180 dólares, mas a utilização não autorizada gerou uma fatura de cerca de 82.314,44 dólares.

Os programadores, que terão apresentado uma queixa junto do Federal Bureau of Investigation (FBI), afirmam que operavam sob condições financeiras apertadas e esperavam que o seu produto se tornasse lucrativo com o tempo.

Mesmo que apenas um terço do montante faturado seja exigido pela Google, receiam que o custo possa resultar na insolvência da empresa.

Segurança das credenciais no centro do problema

Um representante da Google declarou que os clientes que utilizam serviços de IA generativa são responsáveis por proteger as suas próprias credenciais ao abrigo do Shared Responsibility Model da plataforma.

Este pressupõe que os utilizadores implementam salvaguardas de segurança adequadas, uma vez que os prestadores de serviços podem não assumir responsabilidade por utilizações indevidas resultantes de chaves de autenticação comprometidas.

Os três programadores disseram não acreditar que tenham cometido qualquer erro operacional "óbvio".

Aliás, após descobrirem o comprometimento da chave, tentaram proteger o sistema, eliminando as chaves expostas, desativando o acesso à API Google Gemini e ativando a autenticação de dois fatores nas suas contas.

Além disso, abriram um pedido de apoio ao cliente junto da Google, embora relatem não ter recebido até ao momento uma resolução significativa.

Equipa pede limites automáticos para picos de faturação

No Reddit, um dos programadores argumentou que os fornecedores de serviços cloud deveriam implementar salvaguardas mais robustas contra anomalias extremas na faturação.

Perante os potenciais problemas, sugeriu que as plataformas deveriam suspender automaticamente ou verificar as cobranças quando a utilização atinge limiares anormais, salientando a ausência de mecanismos obrigatórios de confirmação durante picos súbitos de utilização.

Um salto de 180 dólares por mês para 82 mil dólares em 48 horas não é variabilidade normal. É um abuso evidente.

Disse um dos programadores da equipa, que tem procurado conselhos junto da comunidade online.

Houve quem alertasse para os riscos de depender fortemente de serviços intensivos em computação, como as API de IA generativa ao estilo do Gemini.

Antes da introdução de práticas modernas de autenticação para serviços de IA generativa, alguns sistemas API mais antigos eram considerados mais fáceis de comprometer.

Os programadores acreditam que o seu caso poderá ajudar a evidenciar preocupações mais amplas relacionadas com segurança e proteção na faturação em ambientes de computação na cloud.