Công nghệ
Thứ Ba, 03/03/2026

Một mã khóa API Gemini bị đánh cắp đã biến tờ tiền 180 đô la thành 82.000 đô la chỉ trong hai ngày

Một mã khóa API Gemini bị đánh cắp đã biến tờ tiền 180 đô la thành 82.000 đô la chỉ trong hai ngày

Sự cố hy hữu nhưng đầy cảnh báo này vừa được một thành viên trong nhóm chia sẻ trên Reddit, làm dấy lên những tranh luận nảy lửa về trách nhiệm bảo mật giữa nhà cung cấp dịch vụ đám mây và người dùng trong kỷ nguyên AI.

Hóa đơn "trên trời rơi xuống"

Theo chia sẻ, khóa API Google Cloud của dự án đã bị lộ trong khoảng thời gian ngắn từ ngày 11 đến 12 tháng 2 năm 2026. Kẻ tấn công đã tận dụng kẽ hở này để truy cập ồ ạt vào các dịch vụ cao cấp như Gemini 3 Pro ImageGemini 3 Pro Text.

Kết quả là một con số không tưởng: Chi phí từ mức trung bình 180 USD/tháng đã vọt lên 82.314,44 USD chỉ trong vòng 48 giờ. Với một công ty nhỏ đang hoạt động với ngân sách thắt chặt, con số này không khác gì một bản án tử hình cho doanh nghiệp. Ngay cả khi được giảm 2/3 số tiền, họ cho biết mình vẫn không đủ khả năng chi trả.


gemini


Cuộc chiến lý lẽ: Lỗi tại ai?

Phản hồi về sự việc, đại diện từ Mountain View (Google) đưa ra quan điểm cứng rắn dựa trên Mô hình Trách nhiệm Chung (Shared Responsibility Model). Theo đó:

  • Nhà cung cấp: Chịu trách nhiệm về hạ tầng và nền tảng.

  • Người dùng: Phải tự bảo vệ thông tin xác thực và triển khai các biện pháp bảo mật cần thiết.

Google khẳng định khách hàng phải tự chịu trách nhiệm khi khóa xác thực bị xâm phạm. Ngược lại, nhóm lập trình viên Mexico quả quyết họ không mắc lỗi vận hành "rõ ràng" nào và đã nhanh chóng vô hiệu hóa API, đổi khóa và bật xác thực hai yếu tố (2FA) ngay khi phát hiện bất thường.

Nhóm này lập luận rằng các nền tảng đám mây cần có cơ chế "phanh khẩn cấp". Việc doanh thu tăng vọt gấp 455 lần trong 48 giờ là một dấu hiệu lạm dụng rõ rệt, không thể coi là biến động sử dụng bình thường. Họ cho rằng hệ thống lẽ ra phải tự động tạm dừng dịch vụ để xác minh thay vì cứ thế "thả cửa" tính tiền.


7V9bS4iNFPLgtPyDVZym8oCA


Lời cảnh báo cho cộng đồng Dev

Sự việc vẫn đang trong quá trình thương lượng nhưng chưa có tín hiệu khả quan từ phía Google. Nhóm phát triển hiện đã đệ đơn khiếu nại lên FBI để điều tra hành vi xâm nhập trái phép.

Vụ việc này để lại nhiều bài học xương máu cho giới lập trình viên khi làm việc với các API AI tiêu tốn nhiều tài nguyên:

  • Tuyệt đối không hard-code khóa API: Luôn sử dụng biến môi trường hoặc các dịch vụ quản lý bí mật (Secret Manager).

  • Thiết lập hạn mức chi tiêu (Billing Quotas): Đây là "phao cứu sinh" quan trọng nhất để chặn đứng các hóa đơn nghìn đô trước khi chúng kịp hình thành.

  • Cảnh giác với kho lưu trữ công khai: Dù nhóm lập trình viên phủ nhận, nhưng việc vô tình đẩy khóa API lên GitHub vẫn là nguyên nhân hàng đầu dẫn đến các vụ rò rỉ tương tự.

Câu chuyện của nhóm phát triển Mexico là lời nhắc nhở rằng trong kỷ nguyên AI, một sai lầm nhỏ về bảo mật có thể dẫn đến hậu quả tài chính khủng khiếp, vượt xa khả năng xử lý của bất kỳ startup nào.

TIN LIÊN QUAN
Góc khuất kinh hoàng của công nghệ nhận diện khuôn mặt và những bản án oan nghiệt

Góc khuất kinh hoàng của công nghệ nhận diện khuôn mặt và những bản án oan nghiệt

Công nghệ không có lỗi, lỗi nằm ở cách con người sử dụng nó như một phán quyết cuối cùng thay vì là một công cụ tham khảo
Nvidia GTC 2026: CPU Vera đổ bộ, Nvidia chính thức tuyên chiến với Intel và AMD tại sân chơi máy chủ

Nvidia GTC 2026: CPU Vera "đổ bộ", Nvidia chính thức tuyên chiến với Intel và AMD tại sân chơi máy chủ

Nvidia đang tái hiện lại kịch bản của thị trường GPU lên thị trường CPU: tạo ra một chuẩn mực hiệu năng mới khiến các đối thủ cũ phải chạy theo hụt hơi.
Pixelpaw Phase: Chuột chơi game biến hình thành tay cầm Joy-Con

Pixelpaw Phase: Chuột chơi game "biến hình" thành tay cầm Joy-Con

Khi tách ra ở chế độ tay cầm, Phase sở hữu đầy đủ hệ thống cần Analog, phím D-pad, các nút mặt trước và nút vai (trigger) không khác gì một chiếc tay cầm chuyên dụng từ Nintendo.
iPhone 18 Pro: Dynamic Island giậm chân tại chỗ, nhưng hiệu năng khủng chip 2nm và pin 5.000mAh

iPhone 18 Pro: Dynamic Island "giậm chân tại chỗ", nhưng hiệu năng khủng chip 2nm và pin 5.000mAh

Điểm nhấn lớn nhất chính là chipset A20 Pro. Đây được kỳ vọng là bộ vi xử lý đầu tiên trên thế giới được sản xuất hàng loạt trên tiến trình 2nm của TSMC.
Card đồ họa ASUS ROG Astral RTX 5090 Real Gold được định giá hơn 20 tỷ đồng

Card đồ họa ASUS ROG Astral RTX 5090 Real Gold được định giá hơn 20 tỷ đồng

Điều nực cười là một linh kiện máy tính — vốn được xem là món đồ công nghệ mất giá nhanh theo thời gian — nay lại trở thành khoản đầu tư sinh lời khủng khiếp còn hơn cả bất động sản hay chứng khoán.
Laptop phổ thông có thể tăng giá tới 40%, chạm mức 1.260 USD

Laptop phổ thông có thể tăng giá tới 40%, chạm mức 1.260 USD

Nhiều người thắc mắc tại sao chi phí linh kiện tăng 13% nhưng giá bán lẻ lại tăng tới 40%. Câu trả lời nằm ở cấu trúc lợi nhuận của toàn chuỗi cung ứng.
15 sản phẩm bị khai tử để nhường chỗ cho kỷ nguyên M5 và iPhone 17e

15 sản phẩm bị khai tử để nhường chỗ cho kỷ nguyên M5 và iPhone 17e

Mục tiêu của Apple rất rõ ràng: tinh gọn hệ sinh thái để tránh gây nhầm lẫn cho người dùng và thúc đẩy doanh số cho các dòng chip M5 và A19 mới nhất. Dưới đây là 15 sản phẩm mà Apple sẽ khai tử:
Samsung SDI tại InterBattery 2026: Khi pin thể rắn đổ bộ kỷ nguyên Robot và AI

Samsung SDI tại InterBattery 2026: Khi pin thể rắn "đổ bộ" kỷ nguyên Robot và AI

Thay vì chỉ tập trung vào xe điện với thiết kế lăng trụ truyền thống, Samsung SDI đã có bước chuyển mình ngoạn mục khi giới thiệu nguyên mẫu pin thể rắn dạng túi nhắm thẳng vào thị trường Robot.
Chiêu trò treo đầu dê bán thịt chó trên Amazon — Laptop 1TB thực chất chỉ có 128GB

Chiêu trò "treo đầu dê bán thịt chó" trên Amazon — Laptop 1TB thực chất chỉ có 128GB

Nhiều mẫu laptop từ các thương hiệu lớn như HP hay Lenovo đang bị các gian hàng trên Amazon gắn tiêu đề gây hiểu lầm nghiêm trọng.